本日の投稿では、12 月 9 日 ~ 12 月 16 日の 1 週間で Talos が確認した最も蔓延している脅威をまとめています。これまでのまとめ記事と同様に、この記事でも詳細な分析は目的としていません。脅威の主な行動特性やセキュリティ侵害の指標に焦点を当て、シスコのお客様がこれらの脅威からどのように保護されるかについて説明しています。
下記の脅威関連情報は、すべてを網羅しているわけではないこと、また公開日の時点に限り最新のものであることに留意してください。また、IOC(セキュリティ脅威の証拠や痕跡)の追跡は脅威分析のごく一部に過ぎないことにもご注意ください。単一の IOC を検出しても、それに必ずしも悪意があるとは限りません。脅威に対する検出とカバレッジは、今後の脅威または脆弱性分析により更新される場合があります。最新の情報については、Firepower Management Center、Snort.org
、または ClamAV.net をご覧ください。
本記事では、脅威カテゴリごとに 25 個の関連ファイルハッシュと最大 25 件の IOC のみを含めています。この記事に記載されている IOC と、ファイルのハッシュ値の一覧についてはこちらの JSON ファイルをご覧ください。MITRE ATT&CK 手口についても、脅威ごとに図示されています。図の中における手口の色が明るいほど、動的分析が行われた脅威ファイル全体で多く確認されたことを示しています。明るさは 5 段階で、最も暗いものはファイル全体で確認されなかった手口を、最も明るいものはファイル全体の 75% 以上で確認された手口を表します。
今回ご紹介する、最も蔓延している脅威は次のとおりです。
| 脅威名 | タイプ | 説明 |
| Win.Dropper.Lokibot-9980537-1 | ドロッパー | LokiBot は情報窃取型のマルウェアです。標的デバイスに保存されている機密情報を吸い上げる目的があります。モジュール型の性質があり、人気のある多くのアプリケーションから機密情報を盗み出します。一般に、スパムメールを介して配信される悪意のあるドキュメントによって感染します。 |
| Win.Packed.Upatre-9980519-1 | パック処理済みマルウェア | Upatre はエクスプロイトキットやフィッシングキャンペーンで多用される、悪意のあるダウンローダーです。感染すると、バンキングマルウェアなどの悪質な実行ファイルをダウンロードして実行します。 |
| Win.Dropper.Gh0stRAT-9980455-1 | ドロッパー | Gh0stRAT は有名なリモートアクセスのトロイの木馬ファミリで、感染したシステムを完全に攻撃者の支配下に置くことを意図して作られています。キーストロークをモニタリングしたり、Web カメラ映像を収集したりするほか、後続のマルウェアをアップロードおよび実行する機能があります。Gh0stRAT のソースコードは長年にわたってインターネット上で公開されているため、他の攻撃者は非常に簡単にコードを入手して変更し、新たな攻撃に再利用できます。 |
| Win.Dropper.njRAT-9980427-0 | ドロッパー | njRAT(別名「Bladabindi」)はリモートアクセスのトロイの木馬です。感染したホスト上でのコマンド実行や、キーストロークのロギング、さらには感染先の Web カメラやマイクのリモート操作を可能にします。開発したのはハッカー集団「Sparclyheason」です。njRAT を使った大規模な攻撃は 2014 年にまで遡ります。 |
| Win.Ransomware.TeslaCrypt-9980413-0 | ランサムウェア | TeslaCrypt は被害者のファイルを強力な暗号で暗号化し、身代金としてビットコインを要求する、よく知られたランサムウェアファミリです。ただし暗号化アルゴリズムに弱点が発見されたことで、身代金を支払うことなくファイルを復号できるようになりました。最終的には、すべての暗号化ファイルを簡単に復元できるマスターキーをマルウェアの作成者が公開しています。 |
| Win.Ransomware.Cerber-9980410-0 | ランサムウェア | Cerber は、ドキュメント、写真、データベースなどの重要なファイルを暗号化するランサムウェアです。これまではファイルを暗号化し、ファイル拡張子に「.cerber」を追加していましたが、最近の攻撃では他の拡張子が使われています。 |
| Win.Dropper.Nanocore-9980555-0 | ドロッパー | Nanocore は .NET を利用したリモートアクセス型トロイの木馬(RAT)です。このソースコードは何度も漏洩してきたため、広く使用されています。他の RAT と同様にシステムを完全に乗っ取り、ビデオの録画や音声の録音、パスワードやファイルの窃取、キー操作の記録などの不正操作を行います。 |
| Win.Dropper.HawkEye-9980407-0 | ドロッパー | Hawkeye は情報窃取型のマルウェアです。感染したマシン上の Web ブラウザやメールクライアントに保存されたユーザー名とパスワードを標的にしています。多くは電子メールで拡散していますが、リムーバブルメディアを介して伝播するケースもあります。 |
脅威の内訳
Win.Dropper.Lokibot-9980537-1
侵害の兆候
- 動的分析により 21 個のサンプルから収集された IOC(脅威の兆候)
| レジストリキー | 発生回数 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\ADVANCED 値の名前:Hidden |
6 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前:Windows Update |
6 |
| <HKCR>\LOCAL SETTINGS\MUICACHE\82\52C64B7E 値の名前:LanguageList |
1 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前:Registry Key Name |
1 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前:WORD |
1 |
| ミューテックス | 発生回数 |
| 3749282D282E1E80C56CAE5A | 12 |
| Global\<random guid> | 5 |
| d19ab989-a35f-4710-83df-7b2db7efe7c5{846ee340-7039-11de-9d20-806e6f6e6963} | 1 |
| マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生回数 |
| 104[.]16[.]154[.]36 | 4 |
| 104[.]16[.]155[.]36 | 2 |
| 172[.]105[.]103[.]207 | 2 |
| 81[.]92[.]202[.]136 | 1 |
| 81[.]17[.]18[.]198 | 1 |
| 208[.]95[.]112[.]1 | 1 |
| 89[.]249[.]66[.]53 | 1 |
| 81[.]17[.]29[.]147 | 1 |
| 3[.]232[.]63[.]71 | 1 |
| マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) | 発生回数 |
| whatismyipaddress[.]com | 6 |
| optimurn[.]host | 3 |
| thammyvienanthea[.]com | 2 |
| changdeacorp[.]com | 2 |
| ip-api[.]com | 1 |
| checkip[.]amazonaws[.]com | 1 |
| rikolexx[.]com | 1 |
| hooklinez[.]us | 1 |
| smtp[.]easterncarqo[.]co[.]in | 1 |
| mytradecrypto[.]ug | 1 |
| www[.]forgivers2019[.]tk | 1 |
| 作成されたファイルやディレクトリ | 発生回数 |
| %APPDATA%\Microsoft\Crypto\RSA\S-1-5-21-2580483871-590521980-3826313501-500\a18ca4003deb042bbee7a40f15e1970b_d19ab989-a35f-4710-83df-7b2db7efe7c5 | 12 |
| %APPDATA%\D282E1 | 10 |
| %APPDATA%\D282E1\1E80C5.lck | 10 |
| %APPDATA%\pid.txt | 6 |
| %APPDATA%\pidloc.txt | 6 |
| %APPDATA%\WindowsUpdate.exe | 6 |
| %TEMP%\holdermail.txt | 2 |
| %System32%\drivers\etc\hosts | 1 |
| %TEMP%\subfolder | 1 |
| %ProgramData% | 1 |
| %TEMP%\holderwb.txt | 1 |
| %TEMP%\subfolder\chop.exe | 1 |
| %TEMP%\subfolder\chop.vbs | 1 |
| %ProgramData%\B21QM0NIFTICFK3T1SLF | 1 |
| %ProgramData%\B21QM0NIFTICFK3T1SLF\US_d19ab989-a35f-4710-83df-7b2db7efe7c58659815602.zip | 1 |
| %ProgramData%\B21QM0NIFTICFK3T1SLF\files | 1 |
| %ProgramData%\B21QM0NIFTICFK3T1SLF\files\Soft | 1 |
| %ProgramData%\B21QM0NIFTICFK3T1SLF\files\Soft\Authy | 1 |
| %ProgramData%\B21QM0NIFTICFK3T1SLF\files\information.txt | 1 |
| %ProgramData%\B21QM0NIFTICFK3T1SLF\files\outlook.txt | 1 |
| %ProgramData%\B21QM0NIFTICFK3T1SLF\files\passwords.txt | 1 |
| %TEMP%\OFFICE | 1 |
| %TEMP%\OFFICE\WORD.exe | 1 |
| %TEMP%\OFFICE\WORD.vbs | 1 |
ファイルのハッシュ値
00eb04840db63230036691b00cacffe5567aadd6b229d17393fc8c719cf48dab 05b6a0c3ab87724b04839a99ed6e25b3325df807106ebc7ce9066a4c77fe326f 1182fc97b4bbff5c4e196604c56c432dbfd21333a298456429abf24c96c2b584 353dbb46d2a041ec26b1b56c51166bf733de21550ef8dcba55d03705713d5791 47f5e1a9b0b645de6a2c17f817e3563c2aa2b2a2d1c2eb7fa266503d1871ccf4 53e152a481cd7982ebe8e8e75a9c075f220262dfced375704e2ca22dfb3e7c87 61bdf6a8fda9449af2d057b6f6c11487c5ca41389f19ecc1dfa809f4cb4bdc33 6c30fa3b8b0ab3bc9c9311d3af030214806b1e5acb04cebdb3a559e4e7bf11b3 7385eb0f72f1aa66592d330fc64ed2d850c97abbf67d9e61206e29e646d2032f 7a91d1ce466d52a1d498fad63e47f24771356bbb79cca25bd585026d78ead807 7ce3ee2f73f5a31415b558e28a46c05817ae82fb6e58b381d7d0d3a5eec2f293 8009a2d6798bde4245567a8472beb123edfb5631c13f1d8e6ec62ef0ff20c617 8e9a4886218312983692cd92e8fc24cea285604b1ad4e933dbd572f8feb4a8d8 a29a76409e778370383c89c0b69ce5291664268e9a65c3a7d3274a5a49398179 a86c38bebebc72b6749ad50c370c738a83fe3799a1c0357c14099d0e1275750c aa1e0983c213de92652f85e8ba2f5f0d8a8cd7ceb395981495ba1762917dfa33 aa7079829cb7eaa96ef06d420f44ff2a834233ff9534c5dc8d4d04671b873a59 b82e08212cee722bc2d004a001523a97572823e1be786e0dc596bed10d52a8fd c0b402a4f08b7d9a40d478350300d15c71de3da80c65d21e046a30ce37a459e3 d4b206b6dff3baf8ead3fb174e80025d8f84edb4787813d0e704147097596c1b f9a5b6cf55cfdf80c976902388c26e62bbf622cd3434baa49dff92ffca8f6a58
カバレッジ
検出時のスクリーンショット
Secure Endpoint
Secure Malware Analytics
MITRE ATT&CK
Win.Packed.Upatre-9980519-1
侵害の兆候
- 動的分析により 20 個のサンプルから収集された IOC(脅威の兆候)
| マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生回数 |
| 34[.]102[.]136[.]180 | 20 |
| 3[.]64[.]163[.]50 | 20 |
| マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) | 発生回数 |
| waytoloans[.]com | 20 |
| thevelvetpouch[.]com | 20 |
| 作成されたファイルやディレクトリ | 発生回数 |
| %TEMP%\foxupdater.exe | 20 |
ファイルのハッシュ値
1ee828baaa452d0318a1badef9d56f8a8ee05d3599c9f6c8dcb54ae322a392fd 25e06d5c6183431c27c5fb676df9299536afb875ed0f1c40b0971fa18dd4e895 26456e576a208be3f0b95f5622a7b76c0af35f9544429fe1c358365db49be4e9 2ff4fa86d4572329e55dcf36c8b652f0eb54a036d78992f6ea989f9815a7ce1a 431ab948d4c702eb811be5a32453a6a0257ad2721db88e5b1b09c5817e8786fc 486ddd85daaaca6fce26f5be2ae7eb6e4cf84356bfcda16e1be69419a5f1711d 4f897c309f9776ecd32c026fd95730f3d800e75d66e2a2c7316e87b18a0fde00 5bb31cd6bc300b99aa3ffd75669c0d5db8e72ee5e92fd4da1a142bf6d535ecb8 5bcb2180f9b47d6d47f3a34329abc443f2d3bda89bd473f99d1c9442281abc3a 73ad9dbc8c06b67f3243d07694d080303b866df802240d107901405ae555e83d 80641c380f6576daac3a5ed7365d4f244fdc78f2fbb3a4654b56deffbaf29a3d 827590683047f223dad8f70661d8255f02f59c6153fb18d1e1d1e01347e46358 86fd57bf637914755e2a5465ebc731bc7592beaf8e9431e0e58242e292ae1bcd 897b7276724d6dcf490700bc2e0c8bcdc6c9d7b81cb129bcb0a964512ffa65f9 93ed23c90e7861a0d49b1dbf371a621552736c13a3cb9f9290aa19359ed05e63 946d53247eb42ce346e399862371d235b997fd565b8823d39f82fa8c7788a85b d0c38e46f3903b1533741dfbb981944f4d10c7e273c6d3df8ba5b873ec7ed821 dd3c60ded429342847acaa695775b8a12aa0e68a21e7de7405c0921ec19bb9e7 e7edf096e5b0f47505a82e3224c9238305570075a7c1f270abf0762cf8149f47 e95635e780e83bdcc9b067d3deac612bcabcc9fdb870730cddeddd3f34c90d68
カバレッジ
検出時のスクリーンショット
Secure Endpoint
Secure Malware Analytics
MITRE ATT&CK
Win.Dropper.Gh0stRAT-9980455-1
侵害の兆候
- 動的分析により 15 個のサンプルから収集された IOC(脅威の兆候)
| レジストリキー | 発生回数 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\RS<random, matching ‘[A-Z]{4} [A-Z]{8}’> | 7 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\RS<random, matching ‘[A-Z]{4} [A-Z]{8}’> 値の名前:Type |
7 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\RS<random, matching ‘[A-Z]{4} [A-Z]{8}’> 値の名前:Start |
7 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\RS<random, matching ‘[A-Z]{4} [A-Z]{8}’> 値の名前:ErrorControl |
7 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\RS<random, matching ‘[A-Z]{4} [A-Z]{8}’> 値の名前:ImagePath |
7 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\RS<random, matching ‘[A-Z]{4} [A-Z]{8}’> 値の名前:DisplayName |
7 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\RS<random, matching ‘[A-Z]{4} [A-Z]{8}’> 値の名前:WOW64 |
7 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\RS<random, matching ‘[A-Z]{4} [A-Z]{8}’> 値の名前:ObjectName |
7 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\RS<random, matching ‘[A-Z]{4} [A-Z]{8}’> 値の名前:Description |
7 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\RS<random, matching ‘[A-Z]{4} [A-Z]{8}’> 値の名前:FailureActions |
7 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN | 4 |
| <HKLM>\SYSTEM\CONTROLSET001\CONTROL\RSKSIG WCUGIQYA | 1 |
| <HKLM>\SYSTEM\CONTROLSET001\CONTROL\RSGAQA MIWWEAEK | 1 |
| <HKLM>\SYSTEM\CONTROLSET001\CONTROL\RSKSIG WCUGIQYA 値の名前:ConnectGroup |
1 |
| <HKLM>\SYSTEM\CONTROLSET001\CONTROL\RSKSIG WCUGIQYA 値の名前:MarkTime |
1 |
| <HKLM>\SYSTEM\CONTROLSET001\CONTROL\RSGAQA MIWWEAEK 値の名前:ConnectGroup |
1 |
| <HKLM>\SYSTEM\CONTROLSET001\CONTROL\RSRCPV RFBCWOYQ | 1 |
| <HKLM>\SYSTEM\CONTROLSET001\CONTROL\RSRCPV RFBCWOYQ 値の名前:ConnectGroup |
1 |
| <HKLM>\SYSTEM\CONTROLSET001\CONTROL\RSGAQA MIWWEAEK 値の名前:MarkTime |
1 |
| <HKLM>\SYSTEM\CONTROLSET001\CONTROL\RSRCPV RFBCWOYQ 値の名前:MarkTime |
1 |
| <HKLM>\SYSTEM\CONTROLSET001\CONTROL\RSDETK YARSERIW | 1 |
| <HKLM>\SYSTEM\CONTROLSET001\CONTROL\RSDETK YARSERIW 値の名前:ConnectGroup |
1 |
| <HKLM>\SYSTEM\CONTROLSET001\CONTROL\RSDETK YARSERIW 値の名前:MarkTime |
1 |
| <HKLM>\SYSTEM\CONTROLSET001\CONTROL\RSTEZX RZPQCQUK | 1 |
| <HKLM>\SYSTEM\CONTROLSET001\CONTROL\RSTEZX RZPQCQUK 値の名前:ConnectGroup |
1 |
| ミューテックス | 発生回数 |
| KyUffThOkYwRRtgPP | 1 |
| 127.0.0.1:8888:Rscdxm riifdjka | 1 |
| 171.214.11.140:6666:Rsmwis uuasausu | 1 |
| 127.0.0.1:8888:Rsrajf bxvuoiyo | 1 |
| zxjice.e2.luyouxia.net:26000:Rsksig wcugiqya | 1 |
| 127.0.0.1:2022:Rsrcpv rfbcwoyq | 1 |
| 192.168.1.159:2022:Rsdetk yarseriw | 1 |
| 180.76.120.191:8888:Rsgaqa miwweaek | 1 |
| lcaus786.e2.luyouxia.net:22785:21086:Rstezx rzpqcquk | 1 |
| 111.67.207.155:2024:Rsieyo ysssmucy | 1 |
| 192.168.1.45:80:Rswoae mymisigc | 1 |
| wbswchrjx.e2.luyouxia.net:28720:Rsdivy soncwnqq | 1 |
| ovo520.e2.luyouxia.net:20012:Rsqeiw yqkquikq | 1 |
| chx031x.e2.luyouxia.net:6471:Rsflnl ppdpdwhy | 1 |
| 127.0.0.1:8000:Rsqqss iiqmoqcy | 1 |
| ikun100.e2.luyouxia.net:28249:Rsghzj kmnmrnla | 1 |
| マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生回数 |
| 47[.]52[.]162[.]13 | 8 |
| 124[.]70[.]9[.]149 | 3 |
| 123[.]99[.]198[.]201 | 3 |
| 43[.]248[.]129[.]49 | 2 |
| 154[.]19[.]202[.]186 | 1 |
| 120[.]26[.]55[.]179 | 1 |
| 171[.]214[.]11[.]140 | 1 |
| 180[.]76[.]120[.]191 | 1 |
| 111[.]67[.]207[.]155 | 1 |
| マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) | 発生回数 |
| guduo[.]xyz | 8 |
| lqwljs[.]cn | 2 |
| www[.]bing[.]com | 1 |
| ikun100[.]e2[.]luyouxia[.]net | 1 |
| sjlwql[.]top | 1 |
| zxjice[.]e2[.]luyouxia[.]net | 1 |
| wbswchrjx[.]e2[.]luyouxia[.]net | 1 |
| ovo520[.]e2[.]luyouxia[.]net | 1 |
| chx031x[.]e2[.]luyouxia[.]net | 1 |
| 作成されたファイルやディレクトリ | 発生回数 |
| %ProgramFiles(x86)%\Microsoft | 1 |
| %ProgramFiles(x86)%\Microsoft\DesktopLayer.exe | 1 |
| %ProgramFiles(x86)%\Cayeqau.exe | 1 |
| %ProgramFiles(x86)%\Microsoft\px7B89.tmp | 1 |
| \TEMP\62c619724cfde20c7571df62d38331b6Srv.exe | 1 |
| %ProgramFiles(x86)%\Thrnvvd.exe | 1 |
| %ProgramFiles(x86)%\Ygkuwmk.exe | 1 |
| %ProgramFiles(x86)%\Gkykrps.exe | 1 |
| %ProgramFiles(x86)%\Bwfjsue.exe | 1 |
| %ProgramFiles(x86)%\Microsoft Fazazl | 1 |
| %ProgramFiles(x86)%\Microsoft Fazazl\Vhipcno.bat | 1 |
| %ProgramFiles(x86)%\Mgucqww.exe | 1 |
ファイルのハッシュ値
180ece74b103cdbf59f0a8f37f80d86735e257de0c63748342abc10e88844877 23925c212a1511b15601983e61c448f0a81d5ff2400aad2b0dfb2130f83db26d 39f7c40cdd521567c481ac4b6b876c2124aadc6068cb7706ea33097524ac4be9 45789525d5ccc00b4a5148aed0d15e980059525a4ce1ffd1b52f18e9f0606c27 62512c22b06a8e3d2ceeff6e8a0acded0d2a45e476c1fda5abdb86704fc71ad6 6f3817e26b094cc3974970666a756edc4064ed535a347f04e74938a768cf8a27 78ca6de2cbde73fd0096e4f14311d439fee3a2f7646b0717a89fa2c14addbcc9 905f03f2f3bb2f8138d3f31484a3ccdb462606303fbe93f6b9e161f329a0caa9 96d6db813da96f1508ff61080d630ae46408cc609ab7c3a40be628149325c11c 973c166822b4fb42e5f786842712f9688f34c2f6895d6a93e2fe926e39d1e183 a265cf3a258b2af0b0e136f08569ebdf2ccd3f34513ed600d07accf8c270529b ba771c968b5a7f61320d6393753544ea54c4caf47204335ac805016e5dcbec49 bad7e73891556abd526f9cf32e4b2e961d2c8b911624c43158e6e641d8fdd093 be79cac4f5fdef9437562409d9c4a37c985c3f9010f601efbbfe92d90c95e45a f7f3f418df156e1a6d1ee27d611baf7d77b64f9ce309cb1cfd0052ead9542b0b
カバレッジ
検出時のスクリーンショット
Secure Endpoint
Secure Malware Analytics
MITRE ATT&CK
Win.Dropper.njRAT-9980427-0
侵害の兆候
- 動的分析により 10 個のサンプルから収集された IOC(脅威の兆候)
| レジストリキー | 発生回数 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM 値の名前:EnableLUA |
10 |
| <HKU>\S-1-5-21-2580483871-590521980-3826313501-500 値の名前:di |
10 |
| <HKCU>\ENVIRONMENT 値の名前:SEE_MASK_NOZONECHECKS |
10 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM 値の名前:ConsentPromptBehaviorAdmin |
10 |
| <HKCU>\SOFTWARE\7657C14284185FBD3FB108B43C7467BA | 9 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前:7657c14284185fbd3fb108b43c7467ba |
9 |
| <HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前:7657c14284185fbd3fb108b43c7467ba |
9 |
| <HKCU>\SOFTWARE\7657C14284185FBD3FB108B43C7467BA 値の名前:[kl] |
9 |
| <HKCU>\SOFTWARE\A12F2B7635CAFFDE3957A7CC18CDE5A9 | 1 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前:a12f2b7635caffde3957a7cc18cde5a9 |
1 |
| <HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前:a12f2b7635caffde3957a7cc18cde5a9 |
1 |
| <HKCU>\SOFTWARE\A12F2B7635CAFFDE3957A7CC18CDE5A9 値の名前:[kl] |
1 |
| ミューテックス | 発生回数 |
| 7657c14284185fbd3fb108b43c7467ba | 9 |
| a12f2b7635caffde3957a7cc18cde5a9 | 1 |
| 作成されたファイルやディレクトリ | 発生回数 |
| %TEMP%\server.exe | 10 |
| %TEMP%\<random, matching [A-F0-9]{3,4}> | 10 |
| %TEMP%\4108\4108.exe | 1 |
| %TEMP%\3355\3355.exe | 1 |
| %TEMP%\5654\5654.exe | 1 |
| %TEMP%\700\700.exe | 1 |
| %TEMP%\5102\5102.exe | 1 |
| %TEMP%\3539\3539.exe | 1 |
| %TEMP%\6788\6788.exe | 1 |
| %TEMP%\3217\3217.exe | 1 |
| %TEMP%\5426\5426.exe | 1 |
| %TEMP%\377\377.exe | 1 |
ファイルのハッシュ値
027d80d4aef687ad5bcf965536b177137c0fc012b62e29dc247b315163beaef6 078cc1681e4c0cb4d0f61091390d81527c9748ec45a9f98118b3fe97051220b7 166b08c9b00a86bb21418bd00d3e9c445fb99ca32d14fde2c69a25082c6d7e5a 3220271f4c7423c530db8a7c1c9714c6f1fad1be0b803c48ca5514c77583f0c7 67b37834e66be76fb637be3ce10edbc02dc8067a7fbd7570a27d8d47c1b8c017 7eccbc3ead189e38be91f2838c4e8954455563a2c63e19d75558e8791619abf1 8171a5ec2079c8c1807b398b4f14c4d53a992d4d1ccbbbbf1d8ee60c1a51dbed 88f06b89e9e53160a944ab25a30d2f59a82807303a34767ae6c81714d067640d 8a72076cdb3cd82e07eca1a4282d46eb99515ee08400285a22dabcd88eab2e84 e774c8e0fab651c62ee5f0aea84759cc83065afa144ee39013fbee749d209904
カバレッジ
検出時のスクリーンショット
Secure Endpoint
Secure Malware Analytics
MITRE ATT&CK
Win.Ransomware.TeslaCrypt-9980413-0
侵害の兆候
- 動的分析により 16 個のサンプルから収集された IOC(脅威の兆候)
| レジストリキー | 発生回数 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM 値の名前:EnableLinkedConnections |
16 |
| <HKCU>\SOFTWARE\XXXSYS | 16 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\ACTION CENTER\CHECKS\{C8E6F269-B90A-4053-A3BE-499AFCEC98C4}.CHECK.0 値の名前:CheckSetting |
16 |
| <HKCU>\SOFTWARE\XXXSYS 値の名前:ID |
16 |
| <HKCU>\Software\<random, matching ‘[A-Z0-9]{14,16}’> | 16 |
| <HKCU>\Software\<random, matching ‘[A-Z0-9]{14,16}’> 値の名前:data |
16 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前:nljubyedlnab |
2 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前:tdwkvyomimyb |
1 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前:hrajdeafhsjv |
1 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前:deafhsjvbsfl |
1 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前:lbkguwsbtylb |
1 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前:fkrqlfvsauct |
1 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前:hexececgsnlj |
1 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前:rbdybcshwwth |
1 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前:fjklmqygvwoa |
1 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前:krqlfvsauctw |
1 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前:xvblbkguwsbt |
1 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前:hqijwghjvpgt |
1 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前:veeqiqypcbef |
1 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前:croscewyhlyq |
1 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前:qiqypcbefwpf |
1 |
| ミューテックス | 発生回数 |
| ityeofm9234-23423 | 16 |
| マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生回数 |
| 110[.]45[.]144[.]173 | 16 |
| 50[.]87[.]147[.]73 | 16 |
| 35[.]205[.]61[.]67 | 16 |
| 2[.]57[.]138[.]47 | 15 |
| 3[.]33[.]152[.]147 | 9 |
| 15[.]197[.]142[.]173 | 7 |
| マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) | 発生回数 |
| ikstrade[.]co[.]kr | 16 |
| lutheranph[.]com | 16 |
| salesandmarketing101[.]net | 16 |
| salaeigroup[.]com | 16 |
| dustywinslow[.]com | 15 |
| lovemydress[.]pl | 15 |
| 作成されたファイルやディレクトリ | 発生回数 |
| %ProgramFiles%\7-Zip\Lang\lv.txt | 16 |
| %ProgramFiles%\7-Zip\Lang\mk.txt | 16 |
| %ProgramFiles%\7-Zip\Lang\mn.txt | 16 |
| %ProgramFiles%\7-Zip\Lang\mng.txt | 16 |
| %ProgramFiles%\7-Zip\Lang\mng2.txt | 16 |
| %ProgramFiles%\7-Zip\Lang\mr.txt | 16 |
| %ProgramFiles%\7-Zip\Lang\ms.txt | 16 |
| %ProgramFiles%\7-Zip\Lang\nb.txt | 16 |
| %ProgramFiles%\7-Zip\Lang\ne.txt | 16 |
| %ProgramFiles%\7-Zip\Lang\nl.txt | 16 |
| %ProgramFiles%\7-Zip\Lang\nn.txt | 16 |
| %ProgramFiles%\7-Zip\Lang\pa-in.txt | 16 |
| %ProgramFiles%\7-Zip\Lang\pl.txt | 16 |
| %ProgramFiles%\7-Zip\Lang\ps.txt | 16 |
| %ProgramFiles%\7-Zip\Lang\pt-br.txt | 16 |
| %ProgramFiles%\7-Zip\Lang\pt.txt | 16 |
| %ProgramFiles%\7-Zip\Lang\ro.txt | 16 |
| %ProgramFiles%\7-Zip\Lang\ru.txt | 16 |
| %ProgramFiles%\7-Zip\Lang\sa.txt | 16 |
| %ProgramFiles%\7-Zip\Lang\si.txt | 16 |
| %ProgramFiles%\7-Zip\Lang\sk.txt | 16 |
| %ProgramFiles%\7-Zip\Lang\sl.txt | 16 |
| %ProgramFiles%\7-Zip\Lang\sq.txt | 16 |
| %ProgramFiles%\7-Zip\Lang\sr-spc.txt | 16 |
| %ProgramFiles%\7-Zip\Lang\sr-spl.txt | 16 |
* IOC の詳細については JSON を参照してください
ファイルのハッシュ値
152d8dfacdec0ebe7008b0ec41f110111209a69bda12c7e011ea824544479e10 1b25c660f2dbb2be0ba596bb2697f486b92a961bba24226aeb82d8f0ac2f8d47 324b40debcda6f4b9795a3880ff35b56a92d865abb7c3525f6b40e28c52d9594 5063d5e6f90dbb6e360259ac24c11c62b1439f90966bdc72dedf60e243b9e87a 521294a88093ea2b7a2b89ec3005b6398f20780874d410663b63429e58b1555a 66e3b4babf44c3168e1524e84dafd4f19bbfd25feff600422f18553c0dc9c75d 7dc78a81de59dc3f666c25c6d10ae730b50d6d2ee341088371f92f137a938530 9c4498d0ed0c9941d61fed83e91942b40ac298b12acfccaeb9d84526103ff4c8 a4cecd9cad126bbb98545d8bdb471fd1971187945eb71e5ccb873e90a84ee7ae ad3a9d7402d494048c934b5af612bdf8da822fa7b22e57b8fe48e98a92f772b8 cd07e3707ed997f08cea9f73113be57561dd3d6286310fd096904deb8fc465c7 d27df86a574f9e5e3f6b0a6ffd180da3c8d46e3ee94ea65eff4d1e782be9a915 e302839fbcbdc6da9e8235013a8abce6425eba48eaf4dac3390360334ebe756e ea3d4eae7eea6f718c8d6999c847f81d046d5a2800f90db40a12c1b2788d630f ee10b9a36e59990b0a49cf0044f2f23f4fc0e9f7b56057d74c96d99b0736a584 fa22998a51ea7dbbd88a0e1d1c11e88e1c0a801125d2e330348323987d00ccaa
カバレッジ
検出時のスクリーンショット
Secure Endpoint
Secure Malware Analytics
MITRE ATT&CK
Win.Ransomware.Cerber-9980410-0
侵害の兆候
- 動的分析により 25 個のサンプルから収集された IOC(脅威の兆候)
| レジストリキー | 発生回数 |
| <HKCR>\LOCAL SETTINGS\MUICACHE\82\52C64B7E 値の名前:LanguageList |
25 |
| ミューテックス | 発生回数 |
| shell.{381828AA-8B28-3374-1B67-35680555C5EF} | 25 |
| Global\C::Users:Administrator:AppData:Local:Microsoft:Windows:Explorer:thumbcache_idx.db!16613a8 | 25 |
| マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生回数 |
| 91[.]119[.]216[.]0/27 | 25 |
| 91[.]120[.]216[.]0/27 | 25 |
| 91[.]121[.]216[.]0/22 | 25 |
| 178[.]128[.]255[.]179 | 16 |
| 172[.]66[.]42[.]238 | 13 |
| 104[.]20[.]20[.]251 | 10 |
| 104[.]20[.]21[.]251 | 10 |
| 172[.]67[.]2[.]88 | 5 |
| 172[.]66[.]41[.]18 | 3 |
| マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) | 発生回数 |
| api[.]blockcypher[.]com | 25 |
| bitaps[.]com | 16 |
| chain[.]so | 16 |
| btc[.]blockr[.]io | 16 |
| p27dokhpz2n7nvgr[.]1lseoi[.]top | 16 |
| hjhqmbxyinislkkt[.]1j9r76[.]top | 9 |
| 作成されたファイルやディレクトリ | 発生回数 |
| %APPDATA%\Microsoft\Crypto\RSA\S-1-5-21-2580483871-590521980-3826313501-500\a18ca4003deb042bbee7a40f15e1970b_d19ab989-a35f-4710-83df-7b2db7efe7c5 | 25 |
| %TEMP%\d19ab989 | 25 |
| %TEMP%\d19ab989\4710.tmp | 25 |
| %TEMP%\d19ab989\a35f.tmp | 25 |
| %LOCALAPPDATA%\Microsoft\Office\Groove1\System\CSMIPC.dat | 25 |
| %TEMP%\tmp<random, matching [A-F0-9]{1,4}>.tmp | 25 |
| %TEMP%\tmp<random, matching [A-F0-9]{1,4}>.bmp | 25 |
| <dir>\_HELP_HELP_HELP_<random, matching ‘[A-F0-9]{4,8}’>_.hta | 25 |
| <dir>\_HELP_HELP_HELP_<random, matching ‘[A-F0-9]{4,8}’>_.png | 25 |
ファイルのハッシュ値
16ebbbbd2d978523d5a3aab8bd061eb664758aa22450ad965591b0972c1bd1e5 1fb3c24f7e64a802af37174a49e8fb4a93a65458918552c54c93c5794a852fe2 20c1fc5368a95da72dcd4260873d0bc3cc5fe7a0a70ead28de3f3925bc27aa32 2750f0c9766c949e73a28d9be59ec227e476efc81ccbf9a2180c78491324f8b7 415fec7c4f2787631477a71a585003391201c8a2f25228fe34f7f14da451607d 4b2fbc99af8bee1e7c8d6dfa31c758a464949b072def63379b54698c2bcb0295 51720195800c617254987a2cd380dd2917fc286b0e60202798fbf4969012b570 55375bebf365b8f173a1af478725c273440f5bac83939da9d196a83d564ccf50 57397ad4a1cd1f70971dab52e5efa14cdc370489e5672e18ee54b71da88d25ca 5a8bfb98f3025a2cd0b432272f7e611914d4bcbaad861afd55e08e5a26c577ba 60d04a29b992ed24711d2f240cacc63f34ab48bcf1332ac7b732d3de2edeb26a 68e66db7f8cb147a6aa5cbc6b3cb7b0ad6a5569f8eabb662bfecddf9b58bdef1 73a322b14d0adcd35c2b77e6931f58e28edf2d79de499dffe93e411416930c00 7cc6160a71803a5e7fc8b01c0fed45b049081ddb3aeac9b1db7ae360f2f20af6 7d844d2401d7065a005fe109510e2263f60a0bbd11072f1c2e97434b033a4f0f 817f0e050402f396b770b3ab4346e0c7ac067d478ccbe57f88277cb9fa07afcb 85dfc22a0b450f06b46de29ccef88cab8e4466fa6653bdd3b03f421a0f8ce4da 8f9a1c56809d5c7dbcdfe6697fafe81038bd2162956eb442c8978b04e7e6f4c9 974b226b88a378aee906e397da4c8b8e849845cdf01b7a7ef1bdef73b1cb37a6 9f429762c580897cb4a71271725483d7d75bbb6d0840dbbe323140b31b1d2b0d bce7d560358ec4421bd73e2d00259c52866b171181f2a4a12844d4174769b725 c6e240ea678b1f1b6f3a185fc1407f50de6eb8585579614ca2ce3731bc8070d3 da3567e0f7c091e1707cbbd7909cfd9fe835fb48dcfb9d1efaaec49ebf5a737d daca60c3f4577bc641c1b25f2bfb220649476db0999e81e3d4d7306069a7d6f6 df4d3ff367a2f4d89d40586b8d44102bf1c3de97ab7ccef18c7f43b4993c1be3
* IOC の詳細については JSON を参照してください
カバレッジ
検出時のスクリーンショット
Secure Endpoint
Secure Malware Analytics
MITRE ATT&CK
Win.Dropper.Nanocore-9980555-0
侵害の兆候
- 動的分析により 47 個のサンプルから収集された IOC(脅威の兆候)
| レジストリキー | 発生回数 |
| <HKCR>\LOCAL SETTINGS\MUICACHE\82\52C64B7E 値の名前:LanguageList |
45 |
| <HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前:AutoUpdate |
19 |
| <HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前:AGP Manager |
12 |
| <HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前:Chrome |
12 |
| <HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前:WindowsUpdate |
10 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM 値の名前:DisableTaskMgr |
6 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM | 6 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前:newapp |
1 |
| <HKCU>\SOFTWARE\MICROSOFT\INTERNET EXPLORER\INTELLIFORMS\STORAGE2 | 1 |
| <HKLM>\SOFTWARE\WOW6432NODE\MOZILLA\MOZILLA FIREFOX | 1 |
| <HKLM>\SOFTWARE\WOW6432NODE\MOZILLA\MOZILLA FIREFOX\20.0.1 (EN-US)\MAIN | 1 |
| <HKLM>\SOFTWARE\WOW6432NODE\MOZILLA\MOZILLA THUNDERBIRD | 1 |
| <HKCU>\SOFTWARE\NETWIRE | 1 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\DISCARDABLE \POSTSETUP\COMPONENT CATEGORIES\{56FFCC30-D398-11D0-B2AE-00A0C908FA49} |
1 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\DISCARDABLE \POSTSETUP\COMPONENT CATEGORIES\{56FFCC30-D398-11D0-B2AE-00A0C908FA49}\ENUM |
1 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNONCE 値の名前:7_64 |
1 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNONCE 値の名前:10_61 |
1 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\DISCARDABLE \POSTSETUP\COMPONENT CATEGORIES\{56FFCC30-D398-11D0-B2AE-00A0C908FA49}\ENUM 値の名前:Implementing |
1 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNONCE 値の名前:6_74 |
1 |
| <HKCU>\SOFTWARE\RMCW-KMC20U | 1 |
| <HKCU>\SOFTWARE\RMCW-KMC20U 値の名前:exepath |
1 |
| <HKCU>\SOFTWARE\RMCW-KMC20U 値の名前:licence |
1 |
| <HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前:ddate |
1 |
| <HKCU>\SOFTWARE\NETWIRE 値の名前:HostId |
1 |
| <HKCU>\SOFTWARE\NETWIRE 値の名前:Install Date |
1 |
| ミューテックス | 発生回数 |
| Global\{042723c4-0804-4212-bf56-4b1b2669ca7c} | 12 |
| 8-3503835SZBFHHZ | 1 |
| – | 1 |
| 1L2N233BRY01J7GZ | 1 |
| J1P86SR380H1-G0M | 1 |
| Global\96f3acc1-6da6-11ed-9660-001517dcb4c8 | 1 |
| S-1-5-21-2580483-12442445629344 | 1 |
| Global\d6071d80-6d05-11ed-9660-001517fac4b0 | 1 |
| KL8ATO734X14Z-LY | 1 |
| 134bd404e63d2b071716d1ceddb58485 | 1 |
| Rmcw-KMC20U | 1 |
| Global\d4f7b8e1-7b75-11ed-9660-001517a920c4 | 1 |
| マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生回数 |
| 192[.]169[.]69[.]26 | 12 |
| 194[.]5[.]98[.]219 | 12 |
| 162[.]55[.]60[.]2 | 8 |
| 52[.]20[.]78[.]240 | 3 |
| 3[.]232[.]242[.]170 | 3 |
| 77[.]88[.]21[.]158 | 2 |
| 54[.]91[.]59[.]199 | 2 |
| 3[.]220[.]57[.]224 | 2 |
| 185[.]209[.]160[.]47 | 2 |
| 103[.]15[.]48[.]110 | 1 |
| 50[.]87[.]253[.]125 | 1 |
| 2[.]57[.]90[.]16 | 1 |
| 34[.]102[.]136[.]180 | 1 |
| 79[.]134[.]225[.]16 | 1 |
| 3[.]18[.]7[.]81 | 1 |
| 45[.]33[.]6[.]223 | 1 |
| 107[.]189[.]4[.]253 | 1 |
| 35[.]208[.]225[.]54 | 1 |
| 156[.]254[.]174[.]120 | 1 |
| 85[.]10[.]159[.]4 | 1 |
| 217[.]21[.]72[.]110 | 1 |
| 103[.]79[.]76[.]152 | 1 |
| 38[.]48[.]189[.]90 | 1 |
| 64[.]185[.]227[.]156 | 1 |
| 198[.]12[.]91[.]245 | 1 |
| マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) | 発生回数 |
| 411speed[.]duckdns[.]org | 12 |
| lowaspeed[.]ddnsfree[.]com | 12 |
| api[.]ipify[.]org | 11 |
| showip[.]net | 8 |
| smtp[.]yandex[.]com | 2 |
| alice2019[.]myftp[.]biz | 1 |
| www[.]sqlite[.]org | 1 |
| www[.]aaronmachado[.]com | 1 |
| www[.]ashakendra[.]org | 1 |
| www[.]665zzz[.]com | 1 |
| www[.]njdshl[.]com | 1 |
| www[.]manciniballroom[.]com | 1 |
| www[.]cure-finder[.]org | 1 |
| www[.]cryptopers[.]com | 1 |
| www[.]teoshotthis[.]com | 1 |
| www[.]denmarktennessee[.]com | 1 |
| www[.]positiveenergyart[.]com | 1 |
| www[.]nicodemusandcrow[.]com | 1 |
| www[.]pluik[.]com | 1 |
| mail[.]chabiant[.]az | 1 |
| mail[.]springhotelhn[.]com | 1 |
| 作成されたファイルやディレクトリ | 発生回数 |
| %HOMEPATH%\temp | 45 |
| %TEMP%\tmp<random, matching [A-F0-9]{1,4}>.tmp | 24 |
| %TEMP%\RegSvcs.exe | 19 |
| %ProgramFiles(x86)%\AGP Manager | 12 |
| %ProgramFiles(x86)%\AGP Manager\agpmgr.exe | 12 |
| %APPDATA%\D19AB989-A35F-4710-83DF-7B2DB7EFE7C5 | 12 |
| %APPDATA%\D19AB989-A35F-4710-83DF-7B2DB7EFE7C5\Logs | 12 |
| %APPDATA%\D19AB989-A35F-4710-83DF-7B2DB7EFE7C5\Logs\Administrator | 12 |
| %APPDATA%\D19AB989-A35F-4710-83DF-7B2DB7EFE7C5\run.dat | 12 |
| %APPDATA%\D19AB989-A35F-4710-83DF-7B2DB7EFE7C5\task.dat | 12 |
| %System32%\Tasks\AGP Manager | 12 |
| %System32%\Tasks\AGP Manager Task | 12 |
| %APPDATA%\A1EB383543D3F00657D7 | 8 |
| %PUBLIC%\Libraries\vbsqlite3.dll | 8 |
| %APPDATA%\A1EB383543D3F00657D7\Files | 7 |
| %APPDATA%\A1EB383543D3F00657D7\Files.zip | 7 |
| %APPDATA%\A1EB383543D3F00657D7\Files\10_147_20121129071628.RTF | 7 |
| %APPDATA%\A1EB383543D3F00657D7\Files\127SYLLABUSFA07.PDF | 7 |
| %APPDATA%\A1EB383543D3F00657D7\Files\13ACX.PDF | 7 |
| %APPDATA%\A1EB383543D3F00657D7\Files\143.PDF | 7 |
| %APPDATA%\A1EB383543D3F00657D7\Files\15_DIPLOMSKI2006.RTF | 7 |
| %APPDATA%\A1EB383543D3F00657D7\Files\167_VAN_OORD_V_THE_PORT_OF_.PDF | 7 |
| %APPDATA%\A1EB383543D3F00657D7\Files\1_ANKITAMISHRA_ESSAY.DOC | 7 |
| %APPDATA%\A1EB383543D3F00657D7\Files\2329444014.DOC | 7 |
| %APPDATA%\A1EB383543D3F00657D7\Files\2590OTHERSUPPORT.DOC | 7 |
* IOC の詳細については JSON を参照してください
ファイルのハッシュ値
02d6acf24555c866c6fa3c37b06c8ff3b546a5b8f97e1e8cab2110c29e51c897 069e629347920fa169623bf55556bf50da6d73b6d8129da71ed7832e76ec0774 08f06965c39cb6f46e18f1df24e72e06fea964197174ac839476d3957e4de495 171777fc7d1801670cdc576c7cb7460fd4f4ad4eac5d00bc14b3a2f799a56ca2 237f4691c8e3937129080c8d1a39e9a33df965f63c90977aab5348606f03ad48 275adb18333faf91f3124dc54af4c201c11c8d25ecde94aed6ea5f373517c000 356b30df4bbe9a2f99a450769fee9a947f5879868d6b60b183fb3faba39f6470 3a4ef6610b647f545e862e03d03df7a89b171831fa685a978b9d76dd09224406 3daa2ea1bfd5b57eabe55cc156a072ea901ff7c809648dd4d7aa6897c7a9bf3c 5ab5b8f885449933f394fc287c5d224e7cb1c1e3f6f89d9d0abb812bb7d3d805 5c9f6daab90ddba678686ebb3562b200be25bdbc5b8bf997aae9888372df3001 5e3eb3b01f08a5860eb53b7ef54c51378fbfc21584687d82ce8a0c7bfdf0bf74 6427b1234b3182b21cfe73e027a9943505033e0ca9c557504051581d77191158 649ba0fa2b0d5b7835a732f9f52b2cc8536e730e224817b02218daebd4b08848 65202bb1c6bc23e5e4297b0b00b1317a375f08134175e5b7e015a6d829dec596 664eb04ce9a07761a925f6cf8d2b4895b04fe5a85593ca0208d995b438c8b5f7 6763500aabf5bb650acee7e50fb2b28559c25e46e43a67e84e849cfb6748968b 690e2244879b7cdddc4b6208c8bcfae41548c1f651dae8fd576e281ddb30381b 6a7d82c112ed34aecaf4b3aa622d946ccd5fdfd8141437c8410b7c36e4d4d4b5 6aa8a7e9eaaad38773e294e1334edd60fa25564999efdbb2e27beddc705cbe3d 73f9758f83bfe78bbd7c137f3c2d92f6813e8f97e09a05da42e8897715313ae3 7b16e2c7b49690e83bb4140b3e0f29418c64a6aae02dc0c324b607ae048b7ebd 7c749b55555779c476f8e206751528e729bed0069f7a9b91f7766a78b8c22792 8034fed4db2081f34b8048bab000a23044d35061868f53cb37a0f9de4951bdaf 88c35140b891ab68d50c39cba262f80e48038a90e92f46b685240b07494714a6
* IOC の詳細については JSON を参照してください
カバレッジ
検出時のスクリーンショット
Secure Endpoint
Secure Malware Analytics
MITRE ATT&CK
Win.Dropper.HawkEye-9980407-0
侵害の兆候
- 動的分析により 17 個のサンプルから収集された IOC(脅威の兆候)
| レジストリキー | 発生回数 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\ADVANCED 値の名前:Hidden |
1 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前:Windows Update |
1 |
| マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生回数 |
| 104[.]16[.]155[.]36 | 1 |
| マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) | 発生回数 |
| whatismyipaddress[.]com | 1 |
| mail[.]curtisjnr[.]org | 1 |
| 作成されたファイルやディレクトリ | 発生回数 |
| %APPDATA%\pid.txt | 1 |
| %APPDATA%\pidloc.txt | 1 |
| %TEMP%\holdermail.txt | 1 |
| %TEMP%\holderwb.txt | 1 |
| %APPDATA%\WindowsUpdate.exe | 1 |
| %APPDATA%\WindowsUpdate.exe\:ZoneIdentifier:$DATA | 1 |
| %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\gykjt.vbs | 1 |
| %APPDATA%\gykjt | 1 |
| %APPDATA%\gykjt\hhuyi.exe | 1 |
| %APPDATA%\gykjt\hhuyi.exe:ZoneIdentifier | 1 |
ファイルのハッシュ値
0afc35bdc7a3c309c2d318c17fb022f4cb273b54f0e985214f35d78d2777b0b6 0da2d12cb707f7dc768729a23151d848f3b55a478c4f5ef2ad291438d7fd8819 1000dae94027ea5274106454778d70f0bc7763b787cab16a017cd846e76e47a9 1fb8d035253a9e76f108a7ffddf701cf15949ec012e4c26f0a6ecf67fc0af01c 2a19ae94bf110da3cb0c99d67fa313d12f5e4518d1bd2d88b0e8213c9c7e8c2b 35f21ad3e2219dbf3936cecc2d8db36686467b87a5984c842a08214f3ab1e3c8 3abccc8e7db8eb44d8baae4b98675c657901c080c5f79160f9cbe8ed9c3f2a4c 42e162ab2cc30abb0197559cd158ed6fc614be33b6e9d1357917356b057f4ca7 757d1ccf4061ca76d7b7de49d9124a74738c7835d9df0ad1074c8643da562aa1 9957b34b6ae296fb384c1a9af0656706b057dfd6f256095a555acaa875a1335a aaa39c2e014b8c48cd156777516987ae3ddde1c5993b47c07e6171e8ffa7733a be0d39b9872aaf2a65ec3ee3dbfae1250384af42af67722bd295f12700e120aa c1d04473949f3e1018cf7bdf6117a3bd788c27932a0c304f09364983b96d689d c31306ed75a78889320033bdf936c9d801fd9da3b7cdda4aead41f8c8fbaa14b d2b9c63c6bc5b982cb25afe657fefe121593803e38cb60eb40484b6aed65ce87 e34558232611b82301ed2aa168242353b3f079e3e1eb5cf31fe6fee06a6d9174 f432a979674be1f744b5392c5034115f9761ecf7001c772d43516bc83e4bffdd
カバレッジ
検出時のスクリーンショット
Secure Endpoint
Secure Malware Analytics
MITRE ATT&CK
本稿は 2022 年 12 月 16 日に Talos Group
Authors
コメントを書く