Cisco Japan Blog

10 月 28 日から 11 月 4 日における脅威のまとめ

5 min read



本日(11 月 4 日)の投稿では、10 月 28 日~ 11 月 4 日の 1 週間で Talos が確認した、最も蔓延している脅威をまとめています。これまでのまとめ記事と同様に、この記事でも詳細な分析は目的としていません。脅威の主な行動特性やセキュリティ侵害の指標に焦点を当て、シスコのお客様がこれらの脅威からどのように保護されるかについて説明しています。

下記の脅威関連情報は、すべてを網羅しているわけではないこと、また公開日の時点に限り最新のものであることに留意してください。また、IOC(セキュリティ脅威の証拠や痕跡)の追跡は脅威分析のごく一部に過ぎないことにもご注意ください。単一の IOC を検出しても、それに必ずしも悪意があるとは限りません。脅威に対する検出とカバレッジは、今後の脅威または脆弱性分析により更新される場合があります。最新の情報については、Firepower Management Center、Snort.orgpopup_icon、または ClamAV.netpopup_icon をご覧ください。

本記事では、脅威カテゴリごとに 25 個の関連ファイルハッシュと最大 25 件の IOC のみを含めています。この記事に記載されている IOC と、ファイルのハッシュ値の一覧についてはこちらpopup_iconの JSON ファイルをご覧ください。MITRE ATT&CK 手口についても、脅威ごとに図示されています。図の中における手口の色が明るいほど、動的分析が行われた脅威ファイル全体で多く確認されたことを示しています。明るさは 5 段階で、最も暗いものはファイル全体で確認されなかった手口を、最も明るいものはファイル全体の 75% 以上で確認された手口を表します。

今回ご紹介する、最も蔓延している脅威は次のとおりです。

脅威名 タイプ 説明
Win.Dropper.Ramnit-9976458-0 ドロッパー Ramnit は、感染したマシンで Web ブラウザのアクティビティを監視し、金融機関の Web サイトからログイン情報を収集するバンキング型トロイの木馬です。ブラウザの cookie を盗み出す機能や、一般的なウイルス対策ソフトウェアによる検出を回避する機能も備えています。
Win.Ransomware.TeslaCrypt-9976475-0 ランサムウェア TeslaCrypt は被害者のファイルを強力な暗号で暗号化し、身代金としてビットコインを要求する、よく知られたランサムウェアファミリです。ただし暗号化アルゴリズムに弱点が発見されたことで、身代金を支払うことなくファイルを復号できるようになりました。最終的には、すべての暗号化ファイルを簡単に復元できるマスターキーをマルウェアの作成者が公開しています。
Win.Dropper.Nanocore-9976516-0 ドロッパー Nanocore は .NET を利用したリモートアクセス型トロイの木馬(RAT)です。このソースコードは何度も漏洩してきたため、広く使用されています。他の RAT と同様にシステムを完全に乗っ取り、ビデオの録画や音声の録音、パスワードやファイルの窃取、キー操作の記録などの不正操作を行います。
Win.Ransomware.Expiro-9976530-0 ランサムウェア Expiro は既知のファイルインフェクタで、情報窃取型ウイルスです。デバッグ回避と分析回避により分析を妨害します。
Win.Dropper.NetWire-9976531-0 ドロッパー NetWire はリモートアクセス型トロイの木馬(RAT)です。感染したシステムでは、攻撃者によるコマンドの実行、キーストロークの記録、Web カメラやリモートデスクトップ機能の操作、接続されている USB デバイスのデータの読み取りが可能になります。NetWire は、マクロを含む Microsoft Office ドキュメントに仕込まれていますが、それらのドキュメントは通常、悪意のあるメールの添付ファイルとして送付されます。
Win.Trojan.Zegost-9976584-0 トロイの木馬 Zegost はリモートアクセス型のトロイの木馬です。感染したシステムを完全に攻撃者の支配下に置くことを意図して作られています。キーストロークをモニタリングしたり、Web カメラ映像を収集したりするほか、後続のマルウェアをアップロードおよび実行する機能があります。Zegost は Gh0stRAT から派生したと考えられています。Gh0stRAT はよく知られているリモートアクセス型のトロイの木馬であり、ソースコードが漏洩しています。このため、攻撃者にとっての参入障壁が大幅に低くなっていて、コードを改変して新たな攻撃で再利用するようになっています。
Win.Dropper.Formbook-9976602-0 ドロッパー Formbook は情報詐取型のマルウェアです。キーストロークの記録、Web ブラウザに保存されたログイン情報の窃取、クリップボードの内容の監視により、感染したシステムから機密情報を収集します。
Win.Malware.Qbot-9976624-0 マルウェア Qakbot(別名 Qbot)は少なくとも 2008 年から出回っています。Qbot は主に銀行のログイン情報などの機密情報を標的にしますが、FTP のログイン情報を盗み、SMB を使用してネットワーク全体に拡散する機能も備えています。
Win.Packed.Mikey-9976634-0 パック処理済みマルウェア Mikey は本体をインストールすることでシステムを感染させるトロイの木馬です。感染したシステム上で情報を収集し、C2 サーバーと通信し、機密情報を漏洩させます。この種のマルウエアは、追加のコマンドを受信したり、要求に応じて追加のマルウェアをインストールしたりするなど、他の不正操作も実行できます。

脅威の内訳

Win.Dropper.Ramnit-9976458-0

侵害の兆候

  • 動的分析により 11 個のサンプルから収集された IOC(脅威の兆候)
レジストリキー 発生回数
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\SECURITY CENTER
値の名前:AntiVirusOverride
11
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\SECURITY CENTER
値の名前:AntiVirusDisableNotify
11
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\SECURITY CENTER
値の名前:FirewallDisableNotify
11
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\SECURITY CENTER
値の名前:FirewallOverride
11
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\SECURITY CENTER
値の名前:UpdatesDisableNotify
11
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\SECURITY CENTER
値の名前:UacDisableNotify
11
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM
値の名前:EnableLUA
11
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\SHAREDACCESS\PARAMETERS\FIREWALLPOLICY\
STANDARDPROFILE
値の名前:EnableFirewall
11
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\SHAREDACCESS\PARAMETERS\FIREWALLPOLICY\
STANDARDPROFILE
値の名前:DoNotAllowExceptions
11
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\SHAREDACCESS\PARAMETERS\FIREWALLPOLICY\
STANDARDPROFILE
値の名前:DisableNotifications
11
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\WSCSVC
値の名前:Start
11
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\WINDEFEND
値の名前:Start
11
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\MPSSVC
値の名前:Start
11
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION
値の名前:jfghdug_ooetvtgk
11
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:JudCsgdy
11
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\WUAUSERV
値の名前:Start
11
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:Windows Defender
11
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON
値の名前:Userinit
11
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON
値の名前:Userinit
11

 

ミューテックス 発生回数
{7930D12C-1D38-EB63-89CF-4C8161B79ED4} 11

 

マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) 発生回数
217[.]20[.]116[.]138 10
72[.]26[.]218[.]70 10
195[.]201[.]179[.]207 10
208[.]100[.]26[.]245 10
35[.]205[.]61[.]67 10
142[.]250[.]80[.]46 10
64[.]225[.]91[.]73 10

 

マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) 発生回数
ltvfyknd[.]com 10
nwgehuej[.]com 10
ochmemne[.]com 10
ovedpgmh[.]com 10
plsjybruf[.]com 10
qqximuos[.]com 10
qsatesrenfj[.]com 10
qymovaxblw[.]com 10
rohpwrralh[.]com 10
rybnpwpdxp[.]com 10
shlbftknj[.]com 10
urnjufcm[.]com 10
wevufrlvbmp[.]com 10
xdxocfqkpfs[.]com 10
xkluqdruhdy[.]com 10
yhvvaanlaw[.]com 10
augrkyqwgni[.]com 10
gsxgbfendh[.]com 10
rqcryxlm[.]com 10
acwuxyrasn[.]com 10
weyvrdbd[.]com 10
tqfgavkr[.]com 10
spbmrgvk[.]com 10
arkdnbwpf[.]com 10
hxblclgkdw[.]com 10

* IOC の詳細については JSON を参照してください

作成されたファイルやディレクトリ 発生回数
%LOCALAPPDATA%\bolpidti 11
%LOCALAPPDATA%\bolpidti\judcsgdy.exe 11
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\judcsgdy.exe 11

ファイルのハッシュ値
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カバレッジ

検出時のスクリーンショット

Secure Endpoint

Secure Malware Analytics

MITRE ATT&CK

Win.Ransomware.TeslaCrypt-9976475-0

侵害の兆候

  • 動的分析により 14 個のサンプルから収集された IOC(脅威の兆候)
レジストリキー 発生回数
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM
値の名前:EnableLinkedConnections
11
<HKCU>\SOFTWARE\ZSYS 11
<HKCR>\LOCAL SETTINGS\MUICACHE\82\52C64B7E
値の名前:LanguageList
11
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\ACTION CENTER\CHECKS\{C8E6F269-B90A-4053-A3BE-499AFCEC98C4}.CHECK.0
値の名前:CheckSetting
11
<HKCU>\SOFTWARE\ZSYS
値の名前:ID
11
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:Acronis
11
<HKCU>\Software\<random, matching ‘[A-Z0-9]{14,16}’> 11
<HKCU>\Software\<random, matching ‘[A-Z0-9]{14,16}’>
値の名前:data
11
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\\PARAMETERS\PORTKEYWORDS\DHCP
値の名前:Collection
1

 

ミューテックス 発生回数
78456214324124 11
Global\3621b8e1-598a-11ed-9660-001517124ddd 1
Global\361f20d1-598a-11ed-9660-0015171d8840 1

 

マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) 発生回数
178[.]33[.]117[.]45 11
34[.]160[.]111[.]145 11
216[.]245[.]213[.]77 6
18[.]232[.]18[.]135 6
52[.]202[.]227[.]125 5
77[.]247[.]182[.]251 4
77[.]247[.]182[.]243 1

 

マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) 発生回数
myexternalip[.]com 11
irseek[.]com 11
djepola[.]com 11
aprenderabailarsevillanas[.]com 11
apotheke-stiepel[.]com 11
woodenden[.]com 11

 

作成されたファイルやディレクトリ 発生回数
\$Recycle.Bin\S-1-5-21-2580483871-590521980-3826313501-500\$I08BO8F.xlsx 11
\$Recycle.Bin\S-1-5-21-2580483871-590521980-3826313501-500\$I11KHR4.doc 11
\$Recycle.Bin\S-1-5-21-2580483871-590521980-3826313501-500\$I5QKHLN.doc 11
\$Recycle.Bin\S-1-5-21-2580483871-590521980-3826313501-500\$I62TWBD.ppt 11
\$Recycle.Bin\S-1-5-21-2580483871-590521980-3826313501-500\$I6FZORX.doc 11
\$Recycle.Bin\S-1-5-21-2580483871-590521980-3826313501-500\$IABMX83.pdf 11
\$Recycle.Bin\S-1-5-21-2580483871-590521980-3826313501-500\$IAJ2Y6R.pdf 11
\$Recycle.Bin\S-1-5-21-2580483871-590521980-3826313501-500\$IALGTCS.xlsx 11
\$Recycle.Bin\S-1-5-21-2580483871-590521980-3826313501-500\$IGTBBSA.accdb 11
\$Recycle.Bin\S-1-5-21-2580483871-590521980-3826313501-500\$IH49RPF.ppt 11
\$Recycle.Bin\S-1-5-21-2580483871-590521980-3826313501-500\$IH71GGR.ppt 11
\$Recycle.Bin\S-1-5-21-2580483871-590521980-3826313501-500\$IJKODPH.pdf 11
\$Recycle.Bin\S-1-5-21-2580483871-590521980-3826313501-500\$IJP965K.accdb 11
\$Recycle.Bin\S-1-5-21-2580483871-590521980-3826313501-500\$IKY5R3M.pdf 11
\$Recycle.Bin\S-1-5-21-2580483871-590521980-3826313501-500\$IMYCSIT.pdf 11
\$Recycle.Bin\S-1-5-21-2580483871-590521980-3826313501-500\$ISLP722.doc 11
\$Recycle.Bin\S-1-5-21-2580483871-590521980-3826313501-500\$IXLC77A.pdf 11
\$Recycle.Bin\S-1-5-21-2580483871-590521980-3826313501-500\$IXUL2U1.doc 11
\$Recycle.Bin\S-1-5-21-2580483871-590521980-3826313501-500\$IYSR1FU.ppt 11
\$Recycle.Bin\S-1-5-21-2580483871-590521980-3826313501-500\$IZ2GMJW.XLSX 11
\$Recycle.Bin\S-1-5-21-2580483871-590521980-3826313501-500\$R08BO8F.xlsx 11
\$Recycle.Bin\S-1-5-21-2580483871-590521980-3826313501-500\$R11KHR4.doc 11
\$Recycle.Bin\S-1-5-21-2580483871-590521980-3826313501-500\$R5QKHLN.doc 11
\$Recycle.Bin\S-1-5-21-2580483871-590521980-3826313501-500\$R62TWBD.ppt 11
\$Recycle.Bin\S-1-5-21-2580483871-590521980-3826313501-500\$R6FZORX.doc 11

* IOC の詳細については JSON を参照してください

ファイルのハッシュ値

30614f6bbaf10137089bb8b1c1bf69b8b131052750b96db1f26e689e59dcc5bb
312f7e1c6a5b1e71dfce6edf658aff098118eb0bccb3676878aba4ca55e8ce53
5917d58345869b83616cb51ce33331f96a23a8c72b6529342c08c0980d481ea4
5d7d96c5024591d45d2bd92329981945eb6400453547df0711e445b66da1c740
679cb4ef0c102db6bc4d6a8dcc15a0a8728c8f1714eec55253a41a29e76cf956
975676952320d4ad6516b9ed31dd1373e9f828e602e7690f55782fc30cb5ba8b
a4e2d68231dd5b9dd62a072082b68d2688de0441596c3b1c927989995afe5a0b
c6867c81e37c2574297f01f95953b71e89f6b9f513bc7fbd6278cb0d9d6031ed
d07d13129187b86b7550e32804201beda9338f33232b122886d35adb55edf73e
d5003563374846618799b3c82852aa90fbf0bd5de8e2c6f50b4c4ae8dd78bb00
d5ae4f92b78010fdc637e4ae606e00ab8be0a7bf02d3d33116b558cf5d0df3bb
e0de998f6a4c61df0aab37eb1c3e169f608235c42daf4a17a70de00ae1321ec4
e0f1b11228df0ae77c74fb87f229c1a0edc8f3a2e5d385f32eee5b47f15855bb
ebf67e0c91d02c84b17dcf1ef61c12c8f5e4c5e5c789db3fa240f1f1c516c672

カバレッジ

検出時のスクリーンショット

Secure Endpoint

Secure Malware Analytics

MITRE ATT&CK

Win.Dropper.Nanocore-9976516-0

侵害の兆候

  • 動的分析により 14 個のサンプルから収集された IOC(脅威の兆候)
レジストリキー 発生回数
<HKCR>\LOCAL SETTINGS\MUICACHE\82\52C64B7E
値の名前:LanguageList
8
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:AGP Manager
5
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:WindowsUpdate
5
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:AutoUpdate
4
<HKCU>\ENVIRONMENT
値の名前:SEE_MASK_NOZONECHECKS
2
<HKCR>\LOCAL SETTINGS\MUICACHE\82\52C64B7E
値の名前:@%SystemRoot%\system32\dhcpqec.dll,-100
2
<HKCR>\LOCAL SETTINGS\MUICACHE\82\52C64B7E
値の名前:@%SystemRoot%\system32\dhcpqec.dll,-101
2
<HKCR>\LOCAL SETTINGS\MUICACHE\82\52C64B7E
値の名前:@%SystemRoot%\system32\dhcpqec.dll,-103
2
<HKCR>\LOCAL SETTINGS\MUICACHE\82\52C64B7E
値の名前:@%SystemRoot%\system32\dhcpqec.dll,-102
2
<HKCR>\LOCAL SETTINGS\MUICACHE\82\52C64B7E
値の名前:@%SystemRoot%\system32\napipsec.dll,-1
2
<HKCR>\LOCAL SETTINGS\MUICACHE\82\52C64B7E
値の名前:@%SystemRoot%\system32\napipsec.dll,-2
2
<HKCR>\LOCAL SETTINGS\MUICACHE\82\52C64B7E
値の名前:@%SystemRoot%\system32\napipsec.dll,-4
2
<HKCR>\LOCAL SETTINGS\MUICACHE\82\52C64B7E
値の名前:@%SystemRoot%\system32\napipsec.dll,-3
2
<HKCR>\LOCAL SETTINGS\MUICACHE\82\52C64B7E
値の名前:@%SystemRoot%\system32\tsgqec.dll,-100
2
<HKCR>\LOCAL SETTINGS\MUICACHE\82\52C64B7E
値の名前:@%SystemRoot%\system32\tsgqec.dll,-101
2
<HKCR>\LOCAL SETTINGS\MUICACHE\82\52C64B7E
値の名前:@%SystemRoot%\system32\tsgqec.dll,-102
2
<HKCR>\LOCAL SETTINGS\MUICACHE\82\52C64B7E
値の名前:@%SystemRoot%\system32\tsgqec.dll,-103
2
<HKCR>\LOCAL SETTINGS\MUICACHE\82\52C64B7E
値の名前:@%SystemRoot%\system32\eapqec.dll,-100
2
<HKCR>\LOCAL SETTINGS\MUICACHE\82\52C64B7E
値の名前:@%SystemRoot%\system32\eapqec.dll,-101
2
<HKCR>\LOCAL SETTINGS\MUICACHE\82\52C64B7E
値の名前:@%SystemRoot%\system32\eapqec.dll,-102
2
<HKCR>\LOCAL SETTINGS\MUICACHE\82\52C64B7E
値の名前:@%SystemRoot%\system32\eapqec.dll,-103
2
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:20744aa7e3ab56e90a843fa06bd99e6d
2
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:20744aa7e3ab56e90a843fa06bd99e6d
2
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM
値の名前:DisableTaskMgr
1
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM 1

 

ミューテックス 発生回数
8-3503835SZBFHHZ 3
Global\{d0691a45-4fc4-42f8-9eb9-754e345ceb2c} 3
20744aa7e3ab56e90a843fa06bd99e6d 2
73M9N-T0-UB83K6J 1
S-1-5-21-2580483-12441695089072 1
S-1-5-21-2580483-12443106840201 1
1N6PO-QCTT825WY- 1
S-1-5-21-2580483-12443999912674 1
073A3D-6T418-C-B 1
Global\{042723c4-0804-4212-bf56-4b1b2669ca7c} 1
O5L2BA2WRAFEx2MB 1
7P2MN2S27-74YFZB 1
Global\{0aeffa29-f3e3-4c27-b5c4-5ee7e27a451f} 1
Global\{0fd7962c-bd41-4ed0-bcf3-944f142a1566} 1

 

マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) 発生回数
34[.]102[.]136[.]180 3
194[.]5[.]98[.]213 3
194[.]55[.]186[.]129 2
198[.]54[.]117[.]218 1
198[.]54[.]117[.]212 1
195[.]110[.]124[.]133 1
66[.]96[.]160[.]130 1
217[.]19[.]248[.]132 1
192[.]169[.]69[.]26 1
75[.]2[.]115[.]196 1
75[.]2[.]26[.]18 1
104[.]21[.]83[.]149 1
209[.]17[.]116[.]163 1
34[.]117[.]168[.]233 1
54[.]91[.]59[.]199 1
64[.]190[.]63[.]111 1
31[.]31[.]196[.]51 1
194[.]5[.]98[.]219 1
199[.]59[.]243[.]222 1
23[.]230[.]152[.]134 1
45[.]33[.]6[.]223 1
45[.]77[.]55[.]161 1
202[.]61[.]84[.]210 1
38[.]6[.]77[.]91 1
76[.]76[.]21[.]9 1

* IOC の詳細については JSON を参照してください

マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) 発生回数
nexaustin[.]ddns[.]net 3
www[.]xn--agroisleos-09a[.]com 1
www[.]cacconsults[.]com 1
411speed[.]duckdns[.]org 1
lowaspeed[.]ddnsfree[.]com 1
www[.]thespecialtstore[.]com 1
www[.]sqlite[.]org 1
www[.]fbo[.]app 1
www[.]fabricsandfashion[.]com 1
www[.]stjohnzone6[.]com 1
www[.]co-gpco[.]com 1
www[.]tigermedlagroup[.]com 1
www[.]www1111cpw[.]com 1
www[.]duetpbr[.]com 1
www[.]duenorthrm[.]com 1
www[.]bbobbo[.]one 1
www[.]onlyonesolutions[.]com 1
www[.]ndppoc[.]info 1
www[.]confurn[.]net 1
www[.]nyhedsbrev671[.]shop 1
www[.]blast4me[.]com 1
www[.]3egcfl[.]cyou 1
www[.]fistfulofeuros[.]org 1
www[.]8065yp[.]com 1
www[.]azalpay[.]site 1

* IOC の詳細については JSON を参照してください

作成されたファイルやディレクトリ 発生回数
%HOMEPATH%\temp 14
%TEMP%\RegSvcs.exe 7
%APPDATA%\D19AB989-A35F-4710-83DF-7B2DB7EFE7C5 6
%APPDATA%\D19AB989-A35F-4710-83DF-7B2DB7EFE7C5\Logs 6
%APPDATA%\D19AB989-A35F-4710-83DF-7B2DB7EFE7C5\Logs\Administrator 6
%APPDATA%\D19AB989-A35F-4710-83DF-7B2DB7EFE7C5\run.dat 6
%TEMP%\tmp<random, matching [A-F0-9]{1,4}>.tmp 6
%ProgramFiles(x86)%\AGP Manager 5
%ProgramFiles(x86)%\AGP Manager\agpmgr.exe 5
%APPDATA%\D19AB989-A35F-4710-83DF-7B2DB7EFE7C5\task.dat 5
%System32%\Tasks\AGP Manager 5
%System32%\Tasks\AGP Manager Task 5
%TEMP%\8_56\mlknlqw.pif 1
%TEMP%\8_56\ofstkibdks.mp3 1
%TEMP%\8_56\pdofc.pdf 1
%TEMP%\8_56\rejtghdwwt.icm 1
%TEMP%\8_56\snmgega.dll 1
%TEMP%\8_56\swev.dll 1
%TEMP%\8_56\tbhdnssur.gcf 1
%TEMP%\8_56\uopse.ini 1
%TEMP%\8_56\wkgwwrb.docx 1
%TEMP%\8_56\wwikp.exe 1
%TEMP%\8_56\xawk.msc 1
%TEMP%\8_56\xtcwtnqb.exe 1
%TEMP%\10_71\biciulubl.mp3 1

* IOC の詳細については JSON を参照してください

ファイルのハッシュ値

0015048adbf3c3c9e4d685430113d63866e2a2f44d68cb3ee84274b4e2936638
1544ca80f8a8b8b9b87a1f9cf1e223c73a30bebe20ef7954f083ccb14275a519
62b5227656a58b1358c35100d0b5e8116ebe5b891a69f0a6f3ece869305e3193
6a4d2f72c82049aaec9996ed5de2756862f32678c33751e1ce449036cd66bf67
6ef54172371d62f47ca10add5d4e16991c08ab1c43effec3d1caf25718d2ed08
7cd5d3d08b5baa37925bbcac0fc1a5d6c72bcbf72d134b20d2fec7a19ea04e4b
98c63a20b549889019289912d4cffdf6b167585bdfdd0b1b0d9993da3c62ca63
b1f692dd52aae8317db7cfd262a4bcc053cf721fc7a00bf66f4acc7cb5cc6cbc
bb1de2f25a652c68b959b1dd2a0b379a71c052ec5a3810f5363fe5e8f172764d
bc10c1fdffe23e13bf9cfc59b5e85e1db2f4f99af014d775a24cdc47920c3fec
cd7309e874f6ca76a451bb90026e79736afdf309cc853948424b00ffa7985b73
dcff2133f606823c5704cde43408c1d49f76fec97a1fcc973d4d3dc69651a4ed
dd0ec4c79c60c7e53fc117800214901f5c55b04aceb455ecb88ceeb12958df60
f8ddc46b03f741a383da261761ed44b95fa58135b64a7b4577f8e08443d9f4bb

カバレッジ

検出時のスクリーンショット

Secure Endpoint

Secure Malware Analytics

MITRE ATT&CK

Win.Ransomware.Expiro-9976530-0

侵害の兆候

  • 動的分析により 12 個のサンプルから収集された IOC(脅威の兆候)
レジストリキー 発生回数
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:Bandera
12

 

ミューテックス 発生回数
Local\Kasimir_C 12
Local\Kasimir_E 12
Local\azov 12

 

作成されたファイルやディレクトリ 発生回数
%ProgramFiles%\Zulu\zulu-8\demo\jvmti\mtrace\RESTORE_FILES.txt 12
%ProgramFiles%\Zulu\zulu-8\demo\jvmti\mtrace\lib\RESTORE_FILES.txt 12
%ProgramFiles%\Zulu\zulu-8\demo\jvmti\versionCheck\RESTORE_FILES.txt 12
%ProgramFiles%\Zulu\zulu-8\demo\jvmti\versionCheck\lib\RESTORE_FILES.txt 12
%ProgramFiles%\Zulu\zulu-8\demo\jvmti\waiters\RESTORE_FILES.txt 12
%ProgramFiles%\Zulu\zulu-8\demo\jvmti\waiters\lib\RESTORE_FILES.txt 12
%ProgramFiles%\Zulu\zulu-8\demo\management\FullThreadDump\RESTORE_FILES.txt 12
%ProgramFiles%\Zulu\zulu-8\demo\management\JTop\RESTORE_FILES.txt 12
%ProgramFiles%\Zulu\zulu-8\demo\management\MemoryMonitor\RESTORE_FILES.txt 12
%ProgramFiles%\Zulu\zulu-8\demo\management\RESTORE_FILES.txt 12
%ProgramFiles%\Zulu\zulu-8\demo\management\VerboseGC\RESTORE_FILES.txt 12
%ProgramFiles%\Zulu\zulu-8\demo\nbproject\RESTORE_FILES.txt 12
%ProgramFiles%\Zulu\zulu-8\demo\nbproject\jfc\FileChooserDemo\RESTORE_FILES.txt 12
%ProgramFiles%\Zulu\zulu-8\demo\nbproject\jfc\FileChooserDemo\nbproject\RESTORE_FILES.txt 12
%ProgramFiles%\Zulu\zulu-8\demo\nbproject\jfc\Font2DTest\RESTORE_FILES.txt 12
%ProgramFiles%\Zulu\zulu-8\demo\nbproject\jfc\Font2DTest\nbproject\RESTORE_FILES.txt 12
%ProgramFiles%\Zulu\zulu-8\demo\nbproject\jfc\Metalworks\RESTORE_FILES.txt 12
%ProgramFiles%\Zulu\zulu-8\demo\nbproject\jfc\Metalworks\nbproject\RESTORE_FILES.txt 12
%ProgramFiles%\Zulu\zulu-8\demo\nbproject\jfc\Notepad\RESTORE_FILES.txt 12
%ProgramFiles%\Zulu\zulu-8\demo\nbproject\jfc\Notepad\nbproject\RESTORE_FILES.txt 12
%ProgramFiles%\Zulu\zulu-8\demo\nbproject\jfc\SampleTree\RESTORE_FILES.txt 12
%ProgramFiles%\Zulu\zulu-8\demo\nbproject\jfc\SampleTree\nbproject\RESTORE_FILES.txt 12
%ProgramFiles%\Zulu\zulu-8\demo\nbproject\jfc\SwingApplet\RESTORE_FILES.txt 12
%ProgramFiles%\Zulu\zulu-8\demo\nbproject\jfc\SwingApplet\nbproject\RESTORE_FILES.txt 12
%ProgramFiles%\Zulu\zulu-8\demo\nbproject\jfc\TableExample\RESTORE_FILES.txt 12

* IOC の詳細については JSON を参照してください

ファイルのハッシュ値

1404a5b4c34cf6e2975a2600ffaa778ae2d2b4fee305a64a122ea8269bcd4a72
154f2b05a85946c0ad74802f75dc8f9fdb79130b0450415f8354b619a7e03683
18a681a88dc35e4ff7c9e67eac567023c29f7944db294fb77b556950b7f83232
1c1e53930a9863e3f862acb6774f858c91c9bc51c77587c79313755b617b7b51
1ee2e603fb17105558daef8fad81f052d36a71636fdf3ed38fd0b4d924081c56
22caaaef25d4d59ad771969e3ba361d5e33fcd5fb7a25d8875fe6bc51a0acb13
4ea0c9a1843a89fb4c469053eb0b817ae4eec70d91f93ef2683a4731ac30030a
606ac339cab05c2641f30a6deee5eddcdb5a82ad94430e8250ed2dc429754ae9
66a01949db2504792ef56fe73352fe75bab35f5995ff94114d7e98bcbebb7b04
7c6d05752c07f45b057b47bd3102dec87b9cea071c8b9ecd12455b0fb123529f
d0a92b410313e350366ab68993db429ac1c99f2e82c7437d13d8736b5716dc19
fd95d28ea97ac602301b212c5fda3e7c9974531a9d2e6c2f72990579248c40b9

カバレッジ

検出時のスクリーンショット

Secure Endpoint

Secure Malware Analytics

MITRE ATT&CK

Win.Dropper.NetWire-9976531-0

侵害の兆候

  • 動的分析により 16 個のサンプルから収集された IOC(脅威の兆候)
レジストリキー 発生回数
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON
値の名前:Shell
11
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:Images
4
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\PMT3XT1Q2K 4
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\PMT3XT1Q2K
値の名前:inst
4
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:remcos
2
<HKCR>\LOCAL SETTINGS\MUICACHE\82\52C64B7E
値の名前:LanguageList
2
<HKCU>\SOFTWARE\NETWIRE 1
<HKCR>\LOCAL SETTINGS\MUICACHE\82\52C64B7E
値の名前:@C:\Windows\system32\DeviceCenter.dll,-2000
1
<HKCU>\SOFTWARE\NETWIRE
値の名前:HostId
1
<HKCU>\SOFTWARE\NETWIRE
値の名前:Install Date
1
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\4JAOA17T9V 1

 

ミューテックス 発生回数
<32 random hex characters> 6
Remcos_Mutex_Inj 2
4K4OB47WX4V4CKL5 2
65RNS1Q-967B20H8 2
remcos_lxsjaviytncaprp 2
1
Mutex 1
Global\{341de909-532f-4e88-9ebb-7d3eb122bb6e} 1
Global\563b8e01-5a4b-11ed-9660-001517ee0131 1
ITVC9 1
Global\{cdbf811f-ed5e-4c07-872b-324356f515af} 1

 

マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) 発生回数
103[.]168[.]204[.]152 4
150[.]242[.]14[.]61 4
34[.]102[.]136[.]180 2
3[.]64[.]163[.]50 2
1[.]2[.]3[.]4 1
103[.]224[.]182[.]210 1
51[.]159[.]67[.]135 1
20[.]103[.]85[.]33 1
23[.]221[.]227[.]169 1
3[.]19[.]100[.]43 1
13[.]248[.]243[.]5 1
188[.]126[.]90[.]9 1
74[.]201[.]28[.]109 1
184[.]105[.]237[.]194 1
192[.]227[.]130[.]26 1
136[.]243[.]154[.]115 1
3[.]136[.]101[.]224 1
170[.]106[.]49[.]122 1
50[.]87[.]196[.]120 1

 

マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) 発生回数
iphanyi[.]webredirect[.]org 4
jlf716galpha[.]ddns[.]net 2
www[.]destinny[.]com 2
www[.]iregentos[.]info 2
www[.]socia1security[.]net 2
microsoft[.]com 1
apps[.]identrust[.]com 1
iphanyi[.]edns[.]biz 1
www[.]movementspecialistslv[.]com 1
h[.]top4top[.]io 1
www[.]blossomenterpriseuganda[.]com 1
www[.]rubenvdsande[.]com 1
amnartrat[.]ddns[.]net 1
www[.]agencybuilderforum[.]com 1
www[.]thegolfclubatcirclec[.]com 1
www[.]alfrednelson[.]com 1
www[.]communityinsuranceut[.]com 1
www[.]qqbokep[.]com 1
www[.]dotalogy[.]com 1
www[.]elegancescent[.]com 1
www[.]blkdenim[.]com 1
www[.]paintedinafrica[.]com 1
www[.]onurtel[.]com 1
www[.]tqiawy[.]xyz 1
www[.]rainbowbanks[.]com 1

* IOC の詳細については JSON を参照してください

作成されたファイルやディレクトリ 発生回数
%ProgramFiles%\Microsoft DN1 5
%LOCALAPPDATA%\Microsoft Vision 5
%ProgramData% 4
%ProgramData%\images.exe 4
%ProgramData%:ApplicationData 4
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\programs.bat 4
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\programs.bat:start 4
%APPDATA%\D19AB989-A35F-4710-83DF-7B2DB7EFE7C5 2
%APPDATA%\D19AB989-A35F-4710-83DF-7B2DB7EFE7C5\Logs 2
%APPDATA%\D19AB989-A35F-4710-83DF-7B2DB7EFE7C5\Logs\Administrator 2
%APPDATA%\D19AB989-A35F-4710-83DF-7B2DB7EFE7C5\run.dat 2
%APPDATA%\D19AB989-A35F-4710-83DF-7B2DB7EFE7C5\task.dat 2
%System32%\Tasks\AGP Manager 2
%APPDATA%\remcos 2
%APPDATA%\remcos\remcos.exe 2
%TEMP%\install.bat 2
%APPDATA%\pbfK0ESxVB628Cf2 2
%APPDATA%\Install 1
%APPDATA%\Install\Host.exe 1
%TEMP%\System 1
%APPDATA%\Sqlite3 1
%APPDATA%\Sqlite3\sqlite3.dll 1
%APPDATA%\1jL8REIPgFpnQFM4 1
%APPDATA%\4nTKFdOD39Vq0zE3 1
%TEMP%\System\xmrig.exe 1

* IOC の詳細については JSON を参照してください

ファイルのハッシュ値
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カバレッジ

検出時のスクリーンショット

Secure Endpoint

Secure Malware Analytics

MITRE ATT&CK

Win.Trojan.Zegost-9976584-0

侵害の兆候

  • 動的分析により 25 個のサンプルから収集された IOC(脅威の兆候)
レジストリキー 発生回数
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:Kris
25

 

ミューテックス 発生回数
chinaheikee__inderjns 25

 

マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) 発生回数
67[.]198[.]148[.]52 25

ファイルのハッシュ値
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* IOC の詳細については JSON を参照してください

カバレッジ

検出時のスクリーンショット

Secure Endpoint

Secure Malware Analytics

MITRE ATT&CK

Win.Dropper.Formbook-9976602-0

侵害の兆候

  • 動的分析により 24 個のサンプルから収集された IOC(脅威の兆候)
レジストリキー 発生回数
<HKCU>\SOFTWARE\APPSTORE 24
<HKCU>\SOFTWARE\APPSTORE
値の名前:LastTime
24
<HKCR>\LOCAL SETTINGS\MUICACHE\82\52C64B7E
値の名前:LanguageList
1
<HKCR>\LOCAL SETTINGS\MUICACHE\82\52C64B7E
値の名前:@explorer.exe,-7001
1

 

作成されたファイルやディレクトリ 発生回数
%TEMP%\ns<random, matching ‘[a-z][A-F0-9]{1,4}’>.tmp 24
%TEMP%\ns<random, matching ‘[a-z][A-F0-9]{4}’>.tmp\System.dll 24
%TEMP%\ns<random, matching ‘[a-z][A-F0-9]{4}’>.tmp\NSDIALOGS.DLL 24
%TEMP%\nsm373D.tmp\modern-wizard.bmp 1
%TEMP%\nsr3624.tmp\modern-wizard.bmp 1
%TEMP%\nsh3412.tmp\modern-wizard.bmp 1
%TEMP%\nsc3C7B.tmp\modern-wizard.bmp 1
%TEMP%\nsm3A97.tmp\modern-wizard.bmp 1
%TEMP%\nsm3D07.tmp\modern-wizard.bmp 1
%TEMP%\nsc3663.tmp\modern-wizard.bmp 1
%TEMP%\nsn355A.tmp\modern-wizard.bmp 1
%TEMP%\nst2544.tmp\modern-wizard.bmp 1
%TEMP%\nsy3EFB.tmp\modern-wizard.bmp 1
%TEMP%\nsi41D.tmp\modern-wizard.bmp 1
%TEMP%\nscAF0B.tmp\modern-wizard.bmp 1
%TEMP%\nsi527B.tmp\modern-wizard.bmp 1
%TEMP%\nstE97C.tmp\modern-wizard.bmp 1
%TEMP%\nsxDF5E.tmp\modern-wizard.bmp 1
%TEMP%\nsi51EF.tmp\modern-wizard.bmp 1
%TEMP%\nsdD0CE.tmp\modern-wizard.bmp 1
%TEMP%\nstC9CC.tmp\modern-wizard.bmp 1
%TEMP%\nsnE0C.tmp\modern-wizard.bmp 1
%TEMP%\nsg832B.tmp\modern-wizard.bmp 1
%TEMP%\nss9F81.tmp\modern-wizard.bmp 1
%TEMP%\nsi5191.tmp\modern-wizard.bmp 1

* IOC の詳細については JSON を参照してください

ファイルのハッシュ値

0a781b03d64413436c911a3994d95af5d2a45ee649f707a979fbe88337a51215
0b36838cf62eb07200b7a91385ce85aba4d028889f3bdd9002ff6a7c133f2936
13c8649974576fe8448a569f3831e67ac2ec41f65ae2605c55cdbe8520f57c9d
1b5c03dad39a612f4b79925343278bb7a0c4466a15bdd5a601f1314e6e58a0e0
286c3326921512170ca8c9318173773b47bfdb8b825358942b4c33f4c26f9f23
31c0a24d60b818ea8e7b17d3547559376b0dd22a24dc41325aff268e0bd8918a
46efe9c4fb87fa2dc79398c2bfbef1fceef22eb9a3b8a9cfc8ae7f293f143736
56e020e483283b6b1974a5808d8ff19cf9023fcc928a643fcc26b030a6f8c1e3
653211977632579659671c25632f882b3aaa56f8030036b0e32e648b44930e24
66e3237dc10316747f42a9423021483168b1332b8077f8dbba44272a5e84b5e2
69d2c94c148875e54384537664abe487d1565d21a89d893df3ff169f7d952d14
6a788c3e4b5b68a65562bf5e8ef8e2dd3b3ba7f71edfe757d351d9ee4d516ec9
72ef1f44392e726243c6f7c74cc7deb2aa0c1880d6248ce2000ed0462858baf3
7968bd184b3752a316f9f25b8e22b8ba14c3270eb9b7fb46eb3b46d4ad557fe9
9428f34d7862cd99d41a50f9085c77d096cf7eddf0cedf889adeb754f623f368
b8416e5271bd5d02808e330d25f4f57cff0cb5a8e1487dad21b392e26d42488b
c95fc54d4fcdb80609d8e4fdfb04596296a9bdece21d3429bafa48a191006840
d17383a87703f33ddd7c968d39d9a9aa07153d65fdb37423490d2118c22a3ca4
d2024286d06081a3119a548ab80551b8d3ea12d2fdc2b399026d23508c2a1380
eb1951d80eac5104f5b02793df52ce540e4a0843494e816541334a09b31c0f08
f24740999c04fb15e868d5e62d79043e84b9ecc7956c6ffeeb0bee76a9c25793
f4090c819f4a5d1da2245244c2e786bceae53a9ba3065f5ffd89588bf8e516be
fb32b93c36578ec09eafe1375538a392d114d3f695400b0720bbb95b70b9b203
fc004c3d0dfdf7d5433da40be3b6e048a6490fe959eaf6af74d0b580256e9dc3

カバレッジ

検出時のスクリーンショット

Secure Endpoint

Secure Malware Analytics

MITRE ATT&CK

Win.Malware.Qbot-9976624-0

侵害の兆候

  • 動的分析により 15 個のサンプルから収集された IOC(脅威の兆候)
レジストリキー 発生回数
<HKCU>\SOFTWARE\MICROSOFT\DFWOFIK 15
<HKCU>\SOFTWARE\MICROSOFT\DFWOFIK
値の名前:bd63ad6b
15
<HKCU>\SOFTWARE\MICROSOFT\DFWOFIK
値の名前:bf228d17
15
<HKCU>\SOFTWARE\MICROSOFT\DFWOFIK
値の名前:79eea72
15
<HKCU>\SOFTWARE\MICROSOFT\DFWOFIK
値の名前:7a96a5f8
15
<HKCU>\SOFTWARE\MICROSOFT\DFWOFIK
値の名前:c22ac29d
15
<HKCU>\SOFTWARE\MICROSOFT\DFWOFIK
値の名前:5dfca0e
15
<HKCU>\SOFTWARE\MICROSOFT\DFWOFIK
値の名前:88fc7d25
15
<HKCU>\SOFTWARE\MICROSOFT\DFWOFIK
値の名前:f7b512d3
15

 

ミューテックス 発生回数
Global\{06253ADC-953E-436E-8695-87FADA31FDFB} 15
{06253ADC-953E-436E-8695-87FADA31FDFB} 15
{357206BB-1CE6-4313-A3FA-D21258CBCDE6} 15

 

作成されたファイルやディレクトリ 発生回数
%APPDATA%\Microsoft\Xtuou 15
\TEMP\10fb7039d24f8593a7de808f8204ead1.dll 1
\TEMP\3ffe560127804443b98953de7c9dd5fa.dll 1
\TEMP\ecd95a8bfe2510b6591a9d1d23defcb0.dll 1
\TEMP\73c5c9c056a12cd9ea3d4976f90a1757.dll 1

ファイルのハッシュ値
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カバレッジ

検出時のスクリーンショット

Secure Endpoint

Secure Malware Analytics

MITRE ATT&CK

Win.Packed.Mikey-9976634-0

侵害の兆候

  • 動的分析により 21 個のサンプルから収集された IOC(脅威の兆候)
レジストリキー 発生回数
<HKCR>\LOCAL SETTINGS\MUICACHE\82\52C64B7E
値の名前:LanguageList
5
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\USER SHELL FOLDERS
値の名前:Startup
2
<HKCR>\LOCAL SETTINGS\MUICACHE\82\52C64B7E
値の名前:@explorer.exe,-7001
1

 

ミューテックス 発生回数
MSCTF.Asm.{00000009-1cb50e6c-089e-d5d99e-08d9da5805ba} 4
Random name 4
Global\MSCTF.Asm.{1cb50e6c-089e-d5d9-9e08-d9da5805ba7f} 4
Session\1\MSCTF.Asm.{1cb50e6c-089e-d5d9-9e08-d9da5805ba7f} 4
Session\2\MSCTF.Asm.{1cb50e6c-089e-d5d9-9e08-d9da5805ba7f} 4
Session\3\MSCTF.Asm.{1cb50e6c-089e-d5d9-9e08-d9da5805ba7f} 4
Session\4\MSCTF.Asm.{1cb50e6c-089e-d5d9-9e08-d9da5805ba7f} 4
Session\5\MSCTF.Asm.{1cb50e6c-089e-d5d9-9e08-d9da5805ba7f} 4
Session\6\MSCTF.Asm.{1cb50e6c-089e-d5d9-9e08-d9da5805ba7f} 4
Session\7\MSCTF.Asm.{1cb50e6c-089e-d5d9-9e08-d9da5805ba7f} 4
Session\8\MSCTF.Asm.{1cb50e6c-089e-d5d9-9e08-d9da5805ba7f} 4
80b59841e5c6230bb2c2395854fd58ec 2
3d2ace6bf496d0362e6311d6f3ab2f72 2

 

マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) 発生回数
185[.]145[.]245[.]124 4
176[.]113[.]115[.]201 2

 

作成されたファイルやディレクトリ 発生回数
%APPDATA%\80b59841e5c623 2
%APPDATA%\80b59841e5c623\cred64.dll 2
%TEMP%\b667dbdcd8 2
%TEMP%\b667dbdcd8\rovwer.exe 2
%System32%\Tasks\rovwer.exe 2
\{76ad8643-0fa0-8a34-e3e6-855ab584454b} 2
\{bfcdf716-5376-3d0b-37b8-f83bc96ca105} 1
\{4feb3bef-c8f9-d16c-dfb8-933e58354094} 1
%APPDATA%\nsis_uns6586659e.dll 1
%APPDATA%\nsis_uns6586683c.dll 1
%APPDATA%\nsis_uns6586688a.dll 1
%APPDATA%\nsis_uns658666c6.dll 1

ファイルのハッシュ値
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カバレッジ

検出時のスクリーンショット

Secure Endpoint

Secure Malware Analytics

MITRE ATT&CK

 

本稿は 2022 年 11 月 04 日に Talos Grouppopup_icon のブログに投稿された「Threat Roundup for October 28 to November 4popup_icon」の抄訳です。

コメントを書く