Cisco Japan Blog

4 月 28 日~ 5 月 5 日における脅威のまとめ

5 min read



本日の投稿では、4 月 28 日~ 5 月 5 日の 1 週間で Talos が確認した、最も蔓延している脅威をまとめています。これまでのまとめ記事と同様に、この記事でも詳細な分析は目的としていません。脅威の主な行動特性やセキュリティ侵害の指標に焦点を当て、シスコのお客様がこれらの脅威からどのように保護されるかについて説明しています。

下記の脅威関連情報は、すべてを網羅しているわけではないこと、また公開日の時点に限り最新のものであることに留意してください。また、IOC(セキュリティ脅威の証拠や痕跡)の追跡は脅威分析のごく一部に過ぎないことにもご注意ください。単一の IOC を検出しても、それに必ずしも悪意があるとは限りません。脅威に対する検出とカバレッジは、今後の脅威または脆弱性分析により更新される場合があります。最新の情報については、Firepower Management Center、Snort.orgpopup_icon、または ClamAV.netpopup_icon をご覧ください。

本記事では、脅威カテゴリごとに 25 個の関連ファイルハッシュと最大 25 件の IOC のみを含めています。この記事に記載されている IOC と、ファイルのハッシュ値の一覧についてはこちらpopup_iconの JSON ファイルをご覧ください。MITRE ATT&CK 手口についても、脅威ごとに図示されています。図の中における手口の色が明るいほど、動的分析が行われた脅威ファイル全体で多く確認されたことを示しています。明るさは 5 段階で、最も暗いものはファイル全体で確認されなかった手口を、最も明るいものはファイル全体の 75% 以上で確認された手口を表します。

今回ご紹介する、最も蔓延している脅威は次のとおりです。

脅威名 タイプ 説明
Win.Packed.njRAT-9999411-0 パック処理済みマルウェア njRAT(別名「Bladabindi」)はリモートアクセスのトロイの木馬です。感染したホスト上でのコマンド実行や、キーストロークのロギング、さらには感染先の Web カメラやマイクのリモート操作を可能にします。開発したのはハッカー集団「Sparclyheason」です。njRAT を使った大規模な攻撃は 2014 年にまで遡ります。
Win.Dropper.Bifrost-9999421-0 ドロッパー Bifrost はバックドアで、10 以上の亜種が存在します。標準的なサーバー、サーバービルダー、そしてクライアントのバックドアを組み合わせることで、(そのクライアントを使用する)攻撃者が侵入先で任意コードを遠隔実行できるようにします。一般的な RAT 機能(ファイルマネージャ、スクリーンキャプチャ ユーティリティ、キーロギング、ビデオ録画、マイクとカメラの監視、プロセスマネージャ)を備えています。システムで実行中であることを示すために、「Bif1234」または「Tr0gBot」という名のミューテックスを使用します。
Win.Ransomware.Cerber-9999985-0 ランサムウェア Cerber は、ドキュメント、写真、データベースなどの重要なファイルを暗号化するランサムウェアです。これまではファイルを暗号化し、ファイル拡張子に「.cerber」を追加していましたが、最近のキャンペーンでは他の拡張子が使われています。
Win.Dropper.Kuluoz-9999994-0 ドロッパー Kuluoz(別名「Asprox」)は、リモートアクセスのモジュール式トロイの木馬です。偽のウイルス対策ソフトウェアといった他のマルウェアを後からダウンロードして実行します。Kuluoz の一般的な感染経路は、出荷通知やフライトの予約確認を装ったスパムメールです。
Win.Dropper.XtremeRAT-10000002-0 ドロッパー XtremeRAT は、2010 年に登場したリモートアクセス型トロイの木馬です。攻撃者はユーザーの操作に割り込んで実行中のシステムを変更できます。Delphi で記述された XtremeRAT のソースコードはインターネットに流出して以降、同様の RAT で使用されています。
Win.Dropper.Tofsee-10000005-0 ドロッパー Tofsee は、複数のモジュールを使用してさまざまなアクティビティ(スパムメッセージの送信、クリック詐欺、暗号通貨の不正マイニングなど)を実行する多目的マルウェアです。いったん感染すると、システムが Tofsee スパムボットネットの一部と化し、大量のスパムメールを送信します。これにより他のシステムにも感染が広がり、攻撃者の支配下にあるボットネットの数が増えていきます。
Win.Trojan.Ramnit-10000021-1 トロイの木馬 Ramnit は、感染したマシンで Web ブラウザのアクティビティを監視し、金融機関の Web サイトからログイン情報を収集するバンキング型トロイの木馬です。ブラウザの Cookie を盗み出す可能性もあり、一般的なウイルス対策ソフトウェアによる検出を回避します。

脅威の内訳

Win.Packed.njRAT-9999411-0

侵害の兆候

  • 動的分析により 12 個のサンプルから収集された IOC(脅威の兆候)
レジストリキー 発生回数
<HKCU>\ENVIRONMENT
値の名前:SEE_MASK_NOZONECHECKS
8
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:23556fb1360f366337f97c924e76ead3
3
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS
\CURRENTVERSION\RUN
値の名前:23556fb1360f366337f97c924e76ead3
3
<HKCU>\SOFTWARE\23556FB1360F366337F97C924E76EAD3 3
<HKCU>\SOFTWARE\23556FB1360F366337F97C924E76EAD3
値の名前:US
3
<HKCU>\SOFTWARE\BA4C12BEE3027D94DA5C81DB2D196BFD
値の名前:US
2
<HKCU>\SOFTWARE\BA4C12BEE3027D94DA5C81DB2D196BFD 2
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:5cd8f17f4086744065eb0992a09e05a2
1
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS
\CURRENTVERSION\RUN
値の名前:5cd8f17f4086744065eb0992a09e05a2
1
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:ba4c12bee3027d94da5c81db2d196bfd
1
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS
\CURRENTVERSION\RUN
値の名前:ba4c12bee3027d94da5c81db2d196bfd
1
<HKCU>\SOFTWARE\5CD8F17F4086744065EB0992A09E05A2
値の名前:US
1
<HKCU>\SOFTWARE\5CD8F17F4086744065EB0992A09E05A2 1
<HKCU>\SOFTWARE\D8D7C4726DD94E5629F337DB2965C1AF 1
<HKCU>\SOFTWARE\D8D7C4726DD94E5629F337DB2965C1AF
値の名前:US
1
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:d8d7c4726dd94e5629f337db2965c1af
1
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS
\CURRENTVERSION\RUN
値の名前:d8d7c4726dd94e5629f337db2965c1af
1
<HKCU>\SOFTWARE\0F170B3532C72267660723E333127B4D 1
<HKCU>\SOFTWARE\0F170B3532C72267660723E333127B4D
値の名前:US
1
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:0f170b3532c72267660723e333127b4d
1
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS
\CURRENTVERSION\RUN
値の名前:0f170b3532c72267660723e333127b4d
1

 

ミューテックス 発生回数
<32 random hex characters> 7

 

マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) 発生回数
torrent-leech[.]servebeer[.]com 3
test0102[.]zapto[.]org 1
hamzahacker84[.]no-ip[.]biz 1
de7kaaat[.]zapto[.]org 1
bobica[.]no-ip[.]info 1

 

作成されたファイルやディレクトリ 発生回数
%APPDATA%\svchost.exe 3
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\23556fb1360f366337f97c924e76ead3.exe 3
%APPDATA%\svchost.exe.tmp 3
E:\23556fb1360f366337f97c924e76ead3.exe 3
\23556fb1360f366337f97c924e76ead3.exe 3
%TEMP%\svchost.exe 2
\5cd8f17f4086744065eb0992a09e05a2.exe 1
\ba4c12bee3027d94da5c81db2d196bfd.exe 1
\TEMP\.tmp 1
%TEMP%\Trojan.exe 1
%TEMP%\Trojan.exe.tmp 1
%TEMP%\svchost.exe.tmp 1
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\ba4c12bee3027d94da5c81db2d196bfd.exe 1
E:\5cd8f17f4086744065eb0992a09e05a2.exe 1
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\5cd8f17f4086744065eb0992a09e05a2.exe 1
E:\ba4c12bee3027d94da5c81db2d196bfd.exe 1
%TEMP%\hamza.exe 1
%TEMP%\hamza.exe.tmp 1
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\d8d7c4726dd94e5629f337db2965c1af.exe 1
%ProgramData%\isystem.exe 1
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\0f170b3532c72267660723e333127b4d.exe 1

ファイルのハッシュ値
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カバレッジ

検出時のスクリーンショット

Secure Endpoint

Secure Malware Analytics

MITRE ATT&CK

Win.Dropper.Bifrost-9999421-0

侵害の兆候

  • 動的分析により 23 個のサンプルから収集された IOC(脅威の兆候)
ミューテックス 発生回数
Bif1234 18
<random, matching [a-zA-Z0-9]{5,9}> 5

 

作成されたファイルやディレクトリ 発生回数
%APPDATA%\addons.dat 2

ファイルのハッシュ値
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カバレッジ

検出時のスクリーンショット

Secure Endpoint

Secure Malware Analytics

MITRE ATT&CK

Win.Ransomware.Cerber-9999985-0

侵害の兆候

  • 動的分析により 54 個のサンプルから収集された IOC(脅威の兆候)
ミューテックス 発生回数
shell.{381828AA-8B28-3374-1B67-35680555C5EF} 54

 

マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) 発生回数
94[.]21[.]172[.]0/27 54
94[.]22[.]172[.]0/27 54
94[.]23[.]172[.]0/22 54
104[.]20[.]20[.]251 21
172[.]67[.]2[.]88 19
104[.]20[.]21[.]251 14
178[.]128[.]255[.]179 12
172[.]67[.]74[.]49 5
104[.]26[.]8[.]86 4
104[.]26[.]9[.]86 3

 

マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) 発生回数
api[.]blockcypher[.]com 54
hjhqmbxyinislkkt[.]1j9r76[.]top 42
bitaps[.]com 12
chain[.]so 12
btc[.]blockr[.]io 12

 

作成されたファイルやディレクトリ 発生回数
%TEMP%\d19ab989 54
%TEMP%\d19ab989\4710.tmp 54
%TEMP%\d19ab989\a35f.tmp 54
%LOCALAPPDATA%\Microsoft\Office\Groove1\System\CSMIPC.dat 54
<dir>\_READ_THIS_FILE_<random, matching [A-F0-9]{4,8}>_.hta 54
<dir>\_READ_THIS_FILE_<random, matching [A-F0-9]{4,8}>_.txt 54

ファイルのハッシュ値

03611a3d29c5bfc9c60478a389999d647f07d6a906057101deace299db87ed0c
0c14954805c6df5ed7e3a7e6eff41d49607d6952208b1bd462f3dc416b791664
0fd37123332104ce76d91a35e5393992b5cd81fd977afb97aecd5e27ad8c37b1
15155a362eb1e40c71af031bef0dd2dd92cf5fa7b549b365b576577decf5d01c
18e1ec6e2bdde5242db231d2c07d951e53568017a18c21e445feb3b513e0a946
26688f001590ab3312067b177c7b7abe9d1519dc6736aa846d5702a27eaabd33
297ba2b3bc3a1cb638b8791df4e5e76a4ab55dcdea9063e9e851d41289625def
2aae4f76bed26ed00582a82ee73cb7b58e9d54ca568047c3b7e1d7aaa32540a4
2c6b60e3d9593789b7bcd045d5ace99c90fd39de1485c3f4cb32d4cad8483456
2db8fc26bc17121b1724d72ad7abf2672710445a6fc35a3728c23f5d7dfc9c0c
31f78896c577b0fd9f8de7323e3b37448f1b683b38fa338c1c10b08fab8a0489
32b7762b08c045e310f15f9f8fdc16cef87f1779505c922b9076b56440641636
33f754ae9862b34b210b14a2b5bf1a966c136c6204e2af11cbbba91d11ccdb5d
359f1f7442d25411e9e948fe57fddc19700af351a08252f64671d24b4bad0ae9
3743ee2c437b0458bcf3f0d605dd7aa9b5a6f7278463659028652c119cb90e32
43b84a6ad0cd2ee1d40cc93a17785e7bc01e946e4176a98a74aa98a74e50c730
4611109e19c031e3fff93c947cc23193e20dcc545b2837f01ab63c62b482a6c8
49d3e05ce3c566ab41fc5de938cbc02886b79cd62e310f5c1ab2a7ad1dd7b614
51729b1d1902b3b9bc628f866f60895a84b01307964fdeb9ba7cef683d9eeec4
51fade9c1740e082ecd32c6971fe399863e8a386eb4bcbf32b3eaf2f89845837
57033c8389b211d9e9726fb70bed63843ab99e1d214c5dcdc5dc9e76a53571ca
5c814e00d32a00c46b071595af010a1ef3109ec025068449ece9886ded140a2e
60507ad97df7c8e3eeda9733d926462a1def4944d8c764db869dbeb661221ce7
664be3a91ac7ac0e54a5a07525a9aeddf62a94df72ebc07a6ec03e26eaef0aa0
6d585e98246c9469086f418ec6a7645a43e3de2fa360db95f23f9a71cd6d8c77

* IOC の詳細については JSON を参照してください

カバレッジ

検出時のスクリーンショット

Secure Endpoint

Secure Malware Analytics

MITRE ATT&CK

Win.Dropper.Kuluoz-9999994-0

侵害の兆候

  • 動的分析により 22 個のサンプルから収集された IOC(脅威の兆候)
レジストリキー 発生回数
<HKCU>\SOFTWARE\<random, matching ‘[a-zA-Z0-9]{5,9}’> 22
<HKCU>\SOFTWARE\WAMXWQPD
値の名前:smujtlwk
1
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:luvplgpk
1
<HKCU>\SOFTWARE\QPVIUNPR
値の名前:frptnefc
1
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:rjkqqpxr
1
<HKCU>\SOFTWARE\EUMGPSEO
値の名前:cbovpnfk
1
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:cnggsxff
1
<HKCU>\SOFTWARE\ETTNCOSJ
値の名前:lwbgsdcv
1
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:ttaxvitj
1
<HKCU>\SOFTWARE\CTTQGKIS
値の名前:cmxfrtnw
1
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:pbqsbklx
1
<HKCU>\SOFTWARE\NAXXBCNW
値の名前:oafjkbjk
1
<HKCU>\SOFTWARE\CNEBDSXT
値の名前:bchenplg
1
<HKCU>\SOFTWARE\CDEKCHEP
値の名前:wwbdhrid
1
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:rrdssxrn
1
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:nsungxkd
1
<HKCU>\SOFTWARE\RTNNUWUL
値の名前:wtmaaxmw
1
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:lwvjaujt
1
<HKCU>\SOFTWARE\CPHRRTRK
値の名前:soxcrgal
1
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:dptacodg
1
<HKCU>\SOFTWARE\CDLCLVRJ
値の名前:guiqcbwp
1
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:vniggsma
1
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:wpbtwsab
1
<HKCU>\SOFTWARE\LECNFNCL
値の名前:sxofspsj
1
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:qxmseevb
1

 

ミューテックス 発生回数
2GVWNQJz1 22

 

マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) 発生回数
5[.]39[.]86[.]97 17
77[.]237[.]121[.]19 17
78[.]47[.]33[.]171 15
162[.]216[.]112[.]217 14
194[.]146[.]226[.]81 13
187[.]95[.]41[.]194 11
164[.]177[.]152[.]110 8
190[.]124[.]250[.]29 6

 

作成されたファイルやディレクトリ 発生回数
%LOCALAPPDATA%\<random, matching ‘[a-z]{8}’>.exe 22

ファイルのハッシュ値
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カバレッジ

検出時のスクリーンショット

Secure Endpoint

Secure Malware Analytics

MITRE ATT&CK

Win.Dropper.XtremeRAT-10000002-0

侵害の兆候

  • 動的分析により 81 個のサンプルから収集された IOC(脅威の兆候)
レジストリキー 発生回数
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\
POLICIES\EXPLORER\RUN
25
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\
POLICIES\EXPLORER\RUN
25
<HKCU>\SOFTWARE\<random, matching ‘[a-zA-Z0-9]{5,9}’> 14
<HKCU>\SOFTWARE\<random, matching ‘[a-zA-Z0-9]{5,9}’>
値の名前:NewIdentification
12
<HKCU>\SOFTWARE\<random, matching ‘[a-zA-Z0-9]{5,9}’>
値の名前:FirstExecution
7
<HKCU>\SOFTWARE\REMOTE
値の名前:NewGroup
6
<HKCU>\SOFTWARE\MICROSOFT\INTERNET EXPLORER\
SEARCHSCOPES\{0633EE93-D776-472F-A0FF-E1416B8B2E3A}
値の名前:FaviconPath
5
<HKCU>\SOFTWARE\MICROSOFT\INTERNET EXPLORER\
SEARCHSCOPES\{0633EE93-D776-472F-A0FF-E1416B8B2E3A}
値の名前:Deleted
5
<HKCU>\SOFTWARE\MICROSOFT\INTERNET EXPLORER\
SEARCHSCOPES
値の名前:DefaultScope
5
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\
EXT\STATS\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}
5
<HKCU>\SOFTWARE\DC3_FEXEC 3
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\
CURRENTVERSION\WINDOWS
値の名前:Load
3
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINDOWS
値の名前:Load
3
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\ACTIVE SETUP\
INSTALLED COMPONENTS\{2J58XP0K-ERQO-J3F4-1E5X-JB44DFP82S24}
3
<HKCU>\SOFTWARE\MASD 3
<HKCU>\SOFTWARE\MASD
値の名前:NewIdentification
3
<HKCU>\SOFTWARE\MASD
値の名前:NewGroup
3
<HKCU>\SOFTWARE\INFECTED HACKING 3
<HKCU>\SOFTWARE\INFECTED HACKING
値の名前:NewIdentification
3
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\SHAREDACCESS\
PARAMETERS\FIREWALLPOLICY\STANDARDPROFILE
値の名前:EnableFirewall
2
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\ACTIVE SETUP\
INSTALLED COMPONENTS\{5460C4DF-B266-909E-CB58-E32B79832EB2}
値の名前:StubPath
2
<HKCU>\SOFTWARE\MICROSOFT\–((SPYNET))–
値の名前:InstalledServer
2
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\ACTIVE SETUP\
INSTALLED COMPONENTS\{5460C4DF-B266-909E-CB58-E32B79832EB2}
2
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\ACTIVE SETUP\
INSTALLED COMPONENTS\{08B0E5JF-4FCB-11CF-AAA5-00401C6XX500}
2
<HKCU>\SOFTWARE\MICROSOFT\–((SPYNET))– 2

 

ミューテックス 発生回数
_x_X_BLOCKMOUSE_X_x_ 14
_x_X_PASSWORDLIST_X_x_ 14
_x_X_UPDATE_X_x_ 14
<random, matching ‘[A-Z0-9]{14}’> 12
Administrator5 10
***MUTEX*** 8
***MUTEX***_PERSIST 8
***MUTEX***_SAIR 8
<random, matching ‘[A-Z0-9]{14}’>_SAIR 8
Administrator1 7
Administrator4 7
<random, matching [a-zA-Z0-9]{5,9}> 7
UFR3 6
SPY_NET_RATMUTEX 5
Global\<random guid> 5
<random, matching [A-Z0-9]{10}> 5
XTREMEUPDATE 4
xXx_key_xXx 3
–((SpyNet))– 2
–((SpyNet))–CHECK 2
–((SpyNet))–INJECT 2
–((SpyNet))–UPDATE 2
1G3W5JF701F082Administrator15 2
((Mutex)) 1
XxXx 1

* IOC の詳細については JSON を参照してください

マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) 発生回数
104[.]127[.]184[.]49 5
23[.]7[.]178[.]157 5
52[.]8[.]126[.]80 4
13[.]107[.]21[.]200 1
217[.]69[.]139[.]160 1
94[.]100[.]180[.]160 1
198[.]23[.]57[.]8 1
66[.]220[.]9[.]50 1
212[.]46[.]196[.]133 1
109[.]74[.]195[.]190 1
142[.]251[.]40[.]238 1
23[.]62[.]230[.]159 1
200[.]6[.]76[.]9 1
2[.]81[.]154[.]116 1

 

マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) 発生回数
go[.]microsoft[.]com 5
www[.]bing[.]com 5
learn[.]microsoft[.]com 5
www[.]server[.]com 4
huhu1234[.]no-ip[.]org 3
gamer9090[.]no-ip[.]org 3
smtp[.]mail[.]ru 2
google[.]com 1
vids[.]p0rn-lover[.]us 1
whatismyip[.]akamai[.]com 1
ftp[.]drivehq[.]com 1
xtremo190278[.]zapto[.]org 1
ftp[.]freehostia[.]com 1
sandra81[.]no-ip[.]org 1
entony[.]no-ip[.]org 1
anton124354[.]aiq[.]ru 1
hackermibb[.]no-ip[.]info 1
amoral999[.]p[.]ht 1
api[.]bitcoin[.]cz 1
darkcometkiller[.]no-ip[.]biz 1
ro[.]sytes[.]net 1
ambrella[.]p[.]ht 1
merlim2[.]no-ip[.]org 1
leechersau[.]no-ip[.]biz 1
m3hl2ad[.]no-ip[.]org 1

* IOC の詳細については JSON を参照してください

作成されたファイルやディレクトリ 発生回数
%APPDATA%\logs.dat 14
%TEMP%\XX–XX–XX.txt 13
%TEMP%\UuU.uUu 13
%TEMP%\XxX.xXx 13
%TEMP%\Administrator7 10
%TEMP%\Administrator8 10
%TEMP%\Administrator2.txt 10
%APPDATA%\Administratorlog.dat 7
%SystemRoot%\SysWOW64\<random, matching ‘[a-zA-Z0-9]{4,19}’>.exe 7
%APPDATA%\dclogs 3
%SystemRoot%\InstallDir 3
%SystemRoot%\InstallDir\Server.exe 3
%APPDATA%\98B68E3C 3
%APPDATA%\98B68E3C\ak.tmp 3
%APPDATA%\Administrator-wchelper.dll 3
%TEMP%\x.html 3
%SystemRoot%\SysWOW64\install 3
\TEMP\ufr_reports 3
%APPDATA%\explorer.exe 3
\Win 3
\Win\MSstart.exe 3
%APPDATA%\explorer.exe\explorer.exe 3
\directory\CyberGate\install\server.exe 2
%SystemRoot%\SysWOW64\install\server.exe 2
%SystemRoot%\SpyNet\Server.exe 2

* IOC の詳細については JSON を参照してください

ファイルのハッシュ値
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* IOC の詳細については JSON を参照してください

カバレッジ

検出時のスクリーンショット

Secure Endpoint

Secure Malware Analytics

MITRE ATT&CK

Win.Dropper.Tofsee-10000005-0

侵害の兆候

  • 動的分析により 83 個のサンプルから収集された IOC(脅威の兆候)
レジストリキー 発生回数
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\
EXPLORER\USER SHELL FOLDERS
値の名前:Startup
27
<HKLM>\SOFTWARE\POLICIES\MICROSOFT\WINDOWS DEFENDER
値の名前:DisableAntiSpyware
26
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\WINDEFEND
値の名前:Start
26
<HKLM>\SOFTWARE\POLICIES\MICROSOFT\WINDOWS\WINDOWSUPDATE\AU 26
<HKLM>\SOFTWARE\POLICIES\MICROSOFT\WINDOWS\WINDOWSUPDATE\AU
値の名前:NoAutoRebootWithLoggedOnUsers
26
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\WUAUSERV
値の名前:Start
26
<HKLM>\SOFTWARE\POLICIES\MICROSOFT\WINDOWS\WINDOWSUPDATE\AU
値の名前:NoAutoUpdate
26
<HKLM>\SOFTWARE\POLICIES\MICROSOFT\WINDOWS DEFENDER\
REAL-TIME PROTECTION
値の名前:DisableBehaviorMonitoring
26
<HKLM>\SOFTWARE\POLICIES\MICROSOFT\WINDOWS DEFENDER\
REAL-TIME PROTECTION
値の名前:DisableOnAccessProtection
26
<HKLM>\SOFTWARE\POLICIES\MICROSOFT\WINDOWS DEFENDER\
REAL-TIME PROTECTION
値の名前:DisableScanOnRealtimeEnable
26
<HKLM>\SOFTWARE\POLICIES\MICROSOFT\WINDOWS DEFENDER\
REAL-TIME PROTECTION
値の名前:DisableIOAVProtection
26
<HKLM>\SOFTWARE\POLICIES\MICROSOFT\WINDOWS DEFENDER 26
<HKLM>\SOFTWARE\POLICIES\MICROSOFT\WINDOWS DEFENDER\
REAL-TIME PROTECTION
26
<HKLM>\SOFTWARE\POLICIES\MICROSOFT\WINDOWS\WINDOWSUPDATE 26
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\
WINDOWS DEFENDER\FEATURES
26
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\
WINDOWS DEFENDER\FEATURES
値の名前:TamperProtection
26
<HKLM>\SOFTWARE\POLICIES\MICROSOFT\
WINDOWS DEFENDER\REAL-TIME PROTECTION
値の名前:DisableRealtimeMonitoring
26
<HKLM>\SOFTWARE\POLICIES\MICROSOFT\
WINDOWS DEFENDER SECURITY CENTER
26
<HKLM>\SOFTWARE\POLICIES\MICROSOFT\
WINDOWS\WINDOWSUPDATE\AU
値の名前:AUOptions
26
<HKLM>\SOFTWARE\POLICIES\MICROSOFT\
WINDOWS\WINDOWSUPDATE\AU
値の名前:AutoInstallMinorUpdates
26
<HKLM>\SOFTWARE\POLICIES\MICROSOFT\
WINDOWS DEFENDER SECURITY CENTER\NOTIFICATIONS
26
<HKLM>\SOFTWARE\POLICIES\MICROSOFT\
WINDOWS DEFENDER SECURITY CENTER\NOTIFICATIONS
値の名前:DisableNotifications
26
<HKLM>\SOFTWARE\POLICIES\MICROSOFT\
WINDOWS\WINDOWSUPDATE\AU
値の名前:UseWUServer
26
<HKLM>\SOFTWARE\POLICIES\MICROSOFT\WINDOWS\WINDOWSUPDATE
値の名前:DoNotConnectToWindowsUpdateInternetLocations
26
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\ISUPLDCY
値の名前:Description
1

 

ミューテックス 発生回数
006700e5a2ab05704bbb0c589b88924d 27
Global\<random guid> 14

 

マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) 発生回数
193[.]3[.]19[.]154 27
194[.]25[.]134[.]115 1
212[.]27[.]48[.]2 1
149[.]154[.]167[.]99 1
152[.]195[.]33[.]132 1
31[.]13[.]65[.]52 1
66[.]254[.]114[.]41 1
198[.]133[.]159[.]250 1
104[.]244[.]42[.]66 1
176[.]113[.]115[.]136 1
142[.]250[.]65[.]228 1
212[.]54[.]56[.]52 1
142[.]251[.]40[.]142 1
20[.]103[.]85[.]33 1
80[.]66[.]75[.]254 1
80[.]66[.]75[.]4 1
20[.]44[.]209[.]209 1
176[.]113[.]115[.]239 1
176[.]113[.]115[.]135 1
104[.]127[.]87[.]210 1
40[.]93[.]207[.]7 1
176[.]124[.]192[.]33 1
23[.]15[.]9[.]58 1
185[.]161[.]248[.]73 1
176[.]124[.]192[.]212 1

* IOC の詳細については JSON を参照してください

マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) 発生回数
249[.]5[.]55[.]69[.]bl[.]spamcop[.]net 1
249[.]5[.]55[.]69[.]cbl[.]abuseat[.]org 1
249[.]5[.]55[.]69[.]dnsbl[.]sorbs[.]net 1
249[.]5[.]55[.]69[.]in-addr[.]arpa 1
249[.]5[.]55[.]69[.]sbl-xbl[.]spamhaus[.]org 1
249[.]5[.]55[.]69[.]zen[.]spamhaus[.]org 1
i[.]instagram[.]com 1
microsoft-com[.]mail[.]protection[.]outlook[.]com 1
microsoft[.]com 1
www[.]google[.]com 1
www[.]youtube[.]com 1
www[.]tiktok[.]com 1
t[.]me 1
api[.]twitter[.]com 1
www[.]pornhub[.]com 1
imap[.]free[.]fr 1
mx01[.]bnr[.]ca 1
imap[.]ntlworld[.]com 1
imap[.]t-online[.]de 1
steamcommunity[.]com 1
api[.]steampowered[.]com 1
api[.]solscan[.]io 1
in-jsproxy[.]globh[.]com 1
cv-h[.]phncdn[.]com 1
vanaheim[.]cn 1

* IOC の詳細については JSON を参照してください

作成されたファイルやディレクトリ 発生回数
%APPDATA%\006700e5a2ab05 27
%APPDATA%\006700e5a2ab05\clip64.dll 27
%APPDATA%\006700e5a2ab05\cred64.dll 27
%System32%\Tasks\oneetx.exe 27
%TEMP%\cb7ae701b3 27
%TEMP%\cb7ae701b3\oneetx.exe 27
%SystemRoot%\SysWOW64\config\systemprofile 1
%SystemRoot%\SysWOW64\config\systemprofile:.repos 1
%TEMP%\IXP001.TMP 1
%TEMP%\IXP001.TMP\TMP4351$.TMP 1
%TEMP%\IXP002.TMP 1
%TEMP%\IXP002.TMP\TMP4351$.TMP 1
%TEMP%\IXP003.TMP 1
%TEMP%\IXP003.TMP\TMP4351$.TMP 1
%LOCALAPPDATA%\Yandex 1
%LOCALAPPDATA%\Yandex\YaAddon 1
%SystemRoot%\SysWOW64\isupldcy 1
%SystemRoot%\Temp\1.exe 1
%TEMP%\wmixskiq.exe 1
%TEMP%\1000011051 1
%TEMP%\1000011051\foto0174.exe 1
%TEMP%\1000012051 1
%TEMP%\1000012051\foto34.exe 1
%TEMP%\IXP000.TMP\s54755209.exe 1
%TEMP%\IXP000.TMP\y52881425.exe 1

* IOC の詳細については JSON を参照してください

ファイルのハッシュ値
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* IOC の詳細については JSON を参照してください

カバレッジ

検出時のスクリーンショット

Secure Endpoint

Secure Malware Analytics

MITRE ATT&CK

Win.Trojan.Ramnit-10000021-1

侵害の兆候

  • 動的分析により 17 個のサンプルから収集された IOC(脅威の兆候)
レジストリキー 発生回数
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\
CURRENTVERSION\WINLOGON
値の名前:Userinit
17

 

ミューテックス 発生回数
Global\SYSTEM_DEMETRA_CONTROL 17
Global\SYSTEM_DEMETRA_MAIN 17
Global\SYSTEM_DEMETRA_SHUTDOWN 17
Global\SYSTEM_DEMETRA_HOOK_00000000 17
Global\SYSTEM_DEMETRA_HOOK_00000004 17
Global\SYSTEM_DEMETRA_HOOK_000000CC 17
Global\SYSTEM_DEMETRA_HOOK_00000120 17
Global\SYSTEM_DEMETRA_HOOK_00000150 17
Global\SYSTEM_DEMETRA_HOOK_00000158 17
Global\SYSTEM_DEMETRA_HOOK_00000174 17
Global\SYSTEM_DEMETRA_UNIQ_00000000 17
Global\SYSTEM_DEMETRA_UNIQ_00000004 17
Global\SYSTEM_DEMETRA_UNIQ_000000CC 17
Global\SYSTEM_DEMETRA_UNIQ_00000120 17
Global\SYSTEM_DEMETRA_UNIQ_00000150 17
Global\SYSTEM_DEMETRA_UNIQ_00000158 17
Global\SYSTEM_DEMETRA_UNIQ_00000174 17
Global\SYSTEM_DEMETRA_HOOK_000001AC 17
Global\SYSTEM_DEMETRA_HOOK_000001BC 17
Global\SYSTEM_DEMETRA_HOOK_000001C4 17
Global\SYSTEM_DEMETRA_HOOK_000001F0 17
Global\SYSTEM_DEMETRA_HOOK_0000021C 17
Global\SYSTEM_DEMETRA_HOOK_0000025C 17
Global\SYSTEM_DEMETRA_HOOK_00000294 17
Global\SYSTEM_DEMETRA_HOOK_000002EC 17

* IOC の詳細については JSON を参照してください

マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) 発生回数
72[.]26[.]218[.]70 17
142[.]250[.]80[.]110 17

 

マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) 発生回数
google[.]com 17
fget-career[.]com 17

 

作成されたファイルやディレクトリ 発生回数
%CommonProgramFiles(x86)%\microsoft shared\TRANSLAT\ESEN\MSB1ESEN.DLL 17
%CommonProgramFiles(x86)%\microsoft shared\TRANSLAT\FREN\MSB1FREN.DLL 17
%CommonProgramFiles(x86)%\microsoft shared\TRANSLAT\WTSP61MS.DLL 17
%CommonProgramFiles(x86)%\microsoft shared\VS Help Data\8.0\Resources\1033\InterstitialPage.htm 17
%CommonProgramFiles(x86)%\microsoft shared\VS7Debug\coloader80.dll 17
%CommonProgramFiles(x86)%\microsoft shared\VS7Debug\csm.dll 17
%CommonProgramFiles(x86)%\microsoft shared\VS7Debug\dbgautoattach.dll 17
%CommonProgramFiles(x86)%\microsoft shared\VS7Debug\msdbg2.dll 17
%ProgramFiles(x86)%\Microsoft Office\Office14\ADDINS\MSVCR71.DLL 17
%ProgramFiles(x86)%\Microsoft Office\Office14\AccessWeb\CLNTWRAP.HTM 17
%ProgramFiles(x86)%\Microsoft Office\Office14\Groove\ToolData\groove.net\GrooveForms3\FormsBlankPage.html 17
%ProgramFiles(x86)%\Microsoft Office\Office14\Groove\ToolData\groove.net\GrooveForms3\FormsBrowserUpgrade.html 17
%ProgramFiles(x86)%\Microsoft Office\Office14\Groove\ToolData\groove.net\GrooveForms3\FormsColorChart.html 17
%ProgramFiles(x86)%\Microsoft Office\Office14\Groove\ToolData\groove.net\GrooveForms3\FormsFormTemplate.html 17
%ProgramFiles(x86)%\Microsoft Office\Office14\Groove\ToolData\groove.net\GrooveForms3\FormsHomePage.html 17
%ProgramFiles(x86)%\Microsoft Office\Office14\Groove\ToolData\groove.net\GrooveForms3\FormsImageTemplate.html 17
%ProgramFiles(x86)%\Microsoft Office\Office14\Groove\ToolData\groove.net\GrooveForms3\FormsMacroTemplate.html 17
%ProgramFiles(x86)%\Microsoft Office\Office14\Groove\ToolData\groove.net\GrooveForms3\FormsPreviewTemplate.html 17
%ProgramFiles(x86)%\Microsoft Office\Office14\Groove\ToolData\groove.net\GrooveForms3\FormsPrintTemplate.html 17
%ProgramFiles(x86)%\Microsoft Office\Office14\Groove\ToolData\groove.net\GrooveForms\FormsBlankPage.html 17
%ProgramFiles(x86)%\Microsoft Office\Office14\Groove\ToolData\groove.net\GrooveForms\FormsBrowserUpgrade.html 17
%ProgramFiles(x86)%\Microsoft Office\Office14\Groove\ToolData\groove.net\GrooveForms\FormsDoNotTrust.html 17
%ProgramFiles(x86)%\Microsoft Office\Office14\Groove\ToolData\groove.net\GrooveForms\FormsHomePage.html 17
%ProgramFiles(x86)%\Microsoft Office\Office14\Groove\ToolData\groove.net\GrooveForms\FormsPreviewTemplate.html 17
%ProgramFiles(x86)%\Microsoft Office\Office14\Groove\ToolData\groove.net\GrooveForms\FormsPrintTemplate.html 17

* IOC の詳細については JSON を参照してください

ファイルのハッシュ値
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カバレッジ

検出時のスクリーンショット

Secure Endpoint

Secure Malware Analytics

MITRE ATT&CK

 

本稿は 2023 年 05 月 05 日に Talos Grouppopup_icon のブログに投稿された「Threat Roundup for April 28 to May 5popup_icon」の抄訳です。

 

コメントを書く