- Cisco Talos は、PowerShell と C# で実装された多段階マルウェアフレームワークを使用して標的を感染させようとするマルウェア攻撃が進行中であることを確認しました。Talos はこのフレームワークを「PS1Bot」と呼んでいます。
- PS1Bot はモジュール設計を特徴としており、複数のモジュールを送り込むことで、情報窃取、キーロギング、偵察、永続的なシステムアクセスの確立など、さまざまな悪意のあるアクティビティを感染システム上で実行します。
- PS1Bot はステルス性が考慮されており、感染システムに残る永続的なアーティファクトを最小限に抑え、メモリ内実行技法を組み込むことにより、後続のモジュールをディスクに書き込むことなく簡単に実行できるようにしています。
- PS1Bot の配布攻撃は 2025 年初頭から非常に活発化しており、現時点までに新しいサンプルが頻繁に確認されています。
- 情報窃取モジュールの実装では、情報窃取マルウェアに埋め込まれた単語リストを活用して、仮想通貨ウォレットへのアクセスに使用できるパスワードとシードフレーズを含むファイルを列挙します。情報窃取マルウェアは感染システムからのデータ漏洩も試みます。
攻撃の概要
Cisco Talos は、2025 年を通して活発に続いているマルウェア攻撃を監視しています。この攻撃は、マルバタイジングを利用して、PowerShell と C# で実装された多段階のマルウェアフレームワークに被害者を誘導しているようです。このフレームワークは、情報窃取マルウェア、キーロガー、スクリーン キャプチャ コレクタなどの後続モジュールを送り込むなど、強力な機能を備えています。また、システムの再起動後も動作を継続できるように永続性を確立します。このマルウェアフレームワークの設計は、モジュールをディスクに書き込むことなくメモリに送り込み、メモリ内で実行できるようにすることで、感染システムに残るアーティファクトを最小限に抑えようとしていると考えられます。設計と実装がマルウェアファミリ AHK Bot と類似しているため、Talos ではこの PowerShell ベースのマルウェアを「PS1Bot」と呼んでいます。
このマルウェア攻撃は非常に活発で、過去数か月にわたり新たなサンプルが継続的に確認されています。この攻撃に関連する悪意のあるアクティビティのクラスターは、Skitnet
に関する報告をはじめとする過去の報告とも重複しています。Talos が分析したどの感染チェーンでも Skitnet バイナリが送り込まれた事実は確認されていませんが、過去の報告で説明されている PowerShell の実装は、今回の事例において感染チェーン全体で送り込まれたコンポーネントと一致しているようです。また、両事例で使用されている C2 インフラにも、かなり共通点が見られます。同様にコードと侵害指標も、過去に報告されたマルバタイジング攻撃と重複していることが確認されています。
配信
被害者には、まず圧縮されたアーカイブが配信されます。実際に確認されたファイル名は、SEO(検索エンジンの最適化)ポイズニングやマルバタイジング攻撃でよく見られるものであり、マルウェア攻撃で狙われているキーワードフレーズがそのままファイル名として使用されています。
- chapter 8 medicare benefit policy manual.zip
- Counting Canadian Money Worksheets Pdf.zip.e49
- zebra gx430t manual.zip.081
- kosher food list pdf (1).zip.c9a
- pambu panchangam 2024-25 pdf.zip.a7a
ソーシャルメディアでの以前の報告がこの評価を裏付けており、研究者らは、マルバタイジング攻撃が今回のマルウェア攻撃で送り込まれた圧縮アーカイブにつながっていることを確認しています。
圧縮アーカイブには「FULL DOCUMENT.js」というファイルが 1 つ含まれています。このファイルはダウンローダーとして機能し、感染の次のステージを取得します。分析した事例では、この JS ファイルには VBScript が含まれており、2025 年を通してさまざまな難読化手法が使用されていました。最近確認された比較的単純な 1 つの例を以下に示します。
図 1. ダウンローダースクリプトの難読化解除
ステージ 1 の取得
実行されたこのマルウェアは、攻撃者が管理するサーバーから JScript スクリプトレットを取得し、その内容を実行します。
図 2. JScript スクリプトレットの内容の例
このスクリプトは、後続のマルウェアが正常に機能するために必要な環境設定を行う役割を担っています。具体的には、C:\ProgramData\ に PowerShell スクリプト(この場合は ntu.ps1)を書き込み、前のステップで作成したファイルに書き込まれたスクリプトの内容を実行します(上記のスクリーンショットではスペースの関係で省略しています)。この PowerShell スクリプトは、C:\ ドライブのシリアル番号を取得し、それを使用して URL を構築します。さらにこの URL を使用してコマンドアンドコントロール(C2)サーバーとの接続を確立し、実行対象となる追加の悪意のあるコンテンツの取得を試みます。受信した PowerShell の内容はすべて Invoke-Expression(IEX)に渡され、既存の PowerShell プロセス内で実行されます。これはループで繰り返され、反復のたびに Sleep() による遅延が追加されます。
図 3. PowerShell モジュールの取得と C2 ポーリング
これにより、マルウェアは実行を継続できるようになり、定期的に攻撃者の C2 サーバーをポーリングして、システム上の PowerShell プロセス内で実行する追加コマンドを取得しようとします。確認したところ、さまざまな追加モジュールを送り込むためにこの手法が使用されています。これらのモジュールにより、攻撃者はシステム上で追加の操作を実行したり、制御下にあるシステムに関する環境情報をさらに取得したり、ログイン情報、セッショントークン、金融口座の詳細(仮想通貨のウォレットデータ)などの機密情報を窃取したりすることが可能になります。
PowerShell モジュール
最初の感染プロセス中と感染後に、以下の種類の PowerShell モジュールが送り込まれることを確認しました。各モジュールにはそれぞれ担当するタスクがあり、一部のモジュールは C# クラスの送信に依存しています。この C# クラスは、アセンブリ DLL を生成するために動的にコンパイルされ、実行されると調査情報の収集、キーロギング、スクリーンショットのキャプチャを支援します。
- ウイルス対策プログラムの検出
- スクリーンキャプチャ
- ウォレットグラバー
- キーロガー
- 情報収集
- 永続化
分析対象となったモジュールのほとんどには、展開中と展開後にインストールと実行時のステータスを監視できるようにログ機能が組み込まれています。ほとんどの場合、これらのステータス更新は URL パラメータの形で C2 サーバーに送信されます。この URL パラメータは、最初の C2 接続を確立するために使用される URL への HTTP GET リクエストに含まれます。
Talos は、攻撃者が必要に応じて展開できる追加のモジュールが存在することを高い確度で評価しています。このマルウェアの実装はモジュール化されているため柔軟性が高く、必要に応じてアップデートや新機能を迅速に展開できます。2025 年を通して PS1Bot 関連のアクティビティを分析する中で、開発が継続的に行われていることを確認しました。これは、PS1Bot が急速に進化する脅威であることを示しています。
ウイルス対策プログラムの検出
この PowerShell モジュールは、C2 サーバーとの最初の接続確立後に送り込まれ、感染システム上に存在するウイルス対策プログラムを取得して報告する役割を担います。そのために、Windows Management Instrumentation(WMI)にクエリを実行し、インストールされているウイルス対策製品のリストを取得します。
図 4. ウイルス対策プログラムの検出ロジック
返された製品リストは、操作の結果を URL パラメータとして含む HTTP GET リクエストを介して攻撃者に送信されます。
図 5. ステータスログの実装
以下は、C2 サーバーに情報を送信するために使用される URL 構造の例です。
hxxp[:]//[C2_SERVER_IP]/[DRIVE_SERIAL]?k=result%20=%20Windows%20Defender;%20%20status%20=%20success
これが完了すると、実行はメインの PowerShell スクリプトに戻され、追加の指示を受信するまで C2 ビーコンが継続されます。感染プロセス中に複数の異なる PowerShell スクリプトが送り込まれた事例がいくつか確認されています。新しい PowerShell スクリプトを送り込む際、攻撃者は、最初に取得した C2 URL に関連付けられた応答内容を操作するだけで済ませています。感染システムが C2 サーバーにビーコンを送信するたびに、送り込まれた PowerShell スクリプトが動的に IEX に渡され、実行されます。
スクリーンキャプチャ
ウイルス対策プログラムの検出が完了すると、追加の PowerShell モジュールが送り込まれます。そのうちの 1 つは、感染システムのスクリーンショットをキャプチャし、その画像を C2 サーバーに送信するモジュールです。一般に、このモジュールはさまざまな目的で実行されます。たとえば、システムが被害者によって実際に使用されているか、それとも無人状態かを見極めることです。また、画面に表示されるものの、他の方法では記録されない機密情報を収集し、容易に持ち出せるようにすることも目的です。
次のケースでは、攻撃者は PowerShell を使用して、ランタイムに C# アセンブリ DLL を動的にコンパイルして実行しています。
図 6. C# コンパイルにおける Add-Type の使用例
生成された DLL はスクリーンショットをキャプチャし、%TEMP% ディレクトリ内にビットマップ画像(.BMP)を作成します。画像はその後 JPEG 形式に変換され、%APPDATA%\Screenshot.jpg に保存されます。
図 7. スクリーンショットの生成ロジック
画像ファイルに保存された内容は Base64 でエンコードされ、そのデータが C2 に送信されます。%TEMP% と %APPDATA% にある画像ファイルは削除されます。
図 8. Base64 でエンコードされたスクリーンショット画像ファイルを含む HTTP POST の例
さらに、モジュールの進行状況を通知するステータスログメッセージが攻撃者に送信されます。例を以下に示します。
スクリーンショットの収集成功:
hxxp[:]//[C2_SERVER_IP]/[DRIVE_SERIAL]?k=script:%20screen,%20status:%20OK,%20message:%20screen%20uploaded
スクリーンショットの収集失敗:
hxxp[:]//[C2_SERVER_IP]/[DRIVE_SERIAL]?k=script:%20screen,%20status:%20error,%20message:%20[EXCEPTION_INFORMATION]
グラバー
感染システム上のスクリーンショットの収集に成功した後で、「グラバーモジュール」と呼ばれる追加の PowerShell モジュールが送り込まれたことが確認されました。このモジュールは、感染システムから機密データを窃取するために使用され、漏洩対象である以下の種類のデータを C2 サーバーに流出させるように設計されています。
- ローカルブラウザストレージ(保存されたログイン情報、Cookie など)
- ウォレットなどの仮想通貨関連のブラウザ拡張機能データ
- 仮想通貨ウォレットアプリケーションのローカル アプリケーション データ
- パスワード、機密文字列、ウォレットシードフレーズを含むファイル
このモジュールはまず、感染プロセスの初期段階で宣言された変数の値をチェックします。先に確立された PowerShell プロセスのコンテキスト内でスクリプトが実行されていない場合、スクリプトは失敗し、実行が終了します。
次にグラバーモジュールは、HTTP GET リクエストを介して C2 サーバーにステータスログメッセージを送信することにより自身が実行中であることを攻撃者に通知し、基本的なランタイム情報を提供します。ログメッセージは、このモジュールの実行中に定期的に送信され、実行プロセス全体を通して、継続的なステータスアップデート、エラーアラート、その他の関連情報を提供します。
マルウェアはまず、ブラウザ、ブラウザ拡張機能、仮想通貨ウォレットアプリケーションなど、対象となるさまざまなインストール済みアプリケーションの有無を確認します。見つかった場合、アプリケーションデータはステージングのために %TEMP% にコピーされます。
マルウェアは、特に次の Web ブラウザに関連付けられたアプリケーションデータの有無をチェックします。
| Google Chrome | Chromium | Kometa |
| Microsoft Edge | 7Star | Maxthon |
| Opera | Atom | Mustang |
| Opera GFX | AVG Secure Browser | Netbox Browser |
| Brave | Avast Secure Browser | Orbitum |
| Vivaldi | CCleaner Browser | QQ Browser |
| Yandex | Chedot | SalamWeb |
| Slimjet | Chrome Beta | Sidekick |
| Epic Privacy Browser | Chrome Canary | Sleipnir |
| Comodo Dragon | Citrio | Sputnik |
| CentBrowser | CoolNovo | Superbird |
| Naver Whale | Coowon | Swing Browser |
| SRWare Iron | CryptoTab Browser | Tempest |
| Blisk | Elements Browser | UC Browser |
| Torch | Iridium | Ulaa |
| Coc Coc | Kinza | UR Browser |
| Amigo | Wavebo | Viasat Browser |
情報窃取マルウェアは、上記のブラウザに加え、次の Chromium 拡張機能のインストール状況もチェックします。これらの拡張機能の大半は、仮想通貨ウォレットや多要素認証(MFA)に関連しています。
| MetaMask | Trezor | wallet-guard-protect-your |
| MetaMask-edge | Ledger | subwallet-polkadot-wallet |
| MetaMask-Opera | Mycelium | argent-x-starknet-wallet |
| Trust-Wallet | TrustWallet | bitget-wallet-formerly-bi |
| Atomic-Wallet | Ellipal | core-crypto-wallet-nft-ex |
| Binance | Dapper | braavos-starknet-wallet |
| Phantom | BitKeep | Kepler |
| Coinbase | Argent | martian-aptos-sui-wallet |
| Ronin | Blockchain Wallet | xverse-wallet |
| Exodus | cryptocom-wallet-extension | gate-wallet |
| Coin98 | Zerion | sender-wallet |
| KardiaChain | Aave | desig-wallet |
| TerraStation | Curve | fewcha-move-wallet |
| Wombat | SushiSwap | kepler-edge |
| Harmoney | Uniswap | okx-wallet |
| Nami | 1inch | unisat-wallet |
| MartianAptos | petra-aptos-wallet | xdefi-wallet |
| Braavos | manta-wallet | rose-wallet |
| XDEFI | TON | Authenticator |
| Yoroi | Tron |
見つかった場合、関連する拡張機能データは、前述の Web ブラウザ アプリケーション データと同様のプロセスを使用してステージングされます。情報窃取マルウェアは、ローカルにインストールされている以下のような仮想通貨ウォレットアプリケーションや MFA アプリケーションも検出しようとします。
| Authy Desktop | Atomic | Armory |
| Exodus | Electrum | Bytecoin |
| Coinomi | Daedalus | Ethereum |
| Bitcoin Core | Ledger Live | Guarda |
| Binance | Zcash | TrustWallet |
この情報窃取マルウェアに含まれる興味深い機能の 1 つは、機密情報を含むファイルを識別し、漏洩するために設計されたスキャナです。スクリプトには、膨大な英単語リストが含まれています。また、チェコ語など他の言語を対象とした単語リストから成るグラバーモジュールの亜種も確認されています。さらに、複数の単語リストから成るバージョンも確認されており、それらの単語リストはそれぞれ別々の仮想通貨ウォレットのシードフレーズを対象としています。
図 9. ウォレットシードフレーズの単語リスト
この単語リストは、仮想通貨ウォレットのシードフレーズを含む可能性のあるファイルを識別するために使用されます。シードフレーズは、主要な認証方法が利用できない場合にウォレットへのアクセスを回復するために用いられます。スクリプトは、特定のファイル拡張子とファイルサイズに一致するファイルを特定し、そのファイルをスキャンして単語リストに一致する文字列値が複数あるかどうかを調べます。さらにこの操作をローカルハードドライブ上のファイルシステム全体で反復します。
図 10. ファイルスキャンパラメータ
また、パスワードが含まれている可能性のあるファイルの識別も試みます。
図 11. パスワードファイルの検出基準
収集された機密情報は圧縮され、攻撃者の C2 サーバーに漏洩されます。
図 12. 圧縮アーカイブの漏洩ロジック
図 13 に示すように、データの圧縮と漏洩は HTTP POST リクエストを介して実行されます。
図 13. 圧縮アーカイブを含む HTTP POST の例
検出されたウォレットシードフレーズは、図 14 と同様の形式で、HTTP GET リクエストを使用して攻撃者に送信されます。
図 14. 検出されたウォレットシードフレーズの内容の送信
見ての通り、強力な情報窃取マルウェアであり、この場合は PowerShell モジュールとして実装されています。
キーロガー
キーロギングおよびクリップボード キャプチャ モジュールは、前述のスクリーン キャプチャ モジュールと同様に実装されており、PowerShell を使用してランタイムに C# アセンブリ DLL を動的にコンパイルして実行します。
図 15. PowerShell での Add-Type の使用例
キーロガーは、SetWindowsHookEx() を使用してキーボードとマウスのイベントを監視し、システム上のキーストロークとマウス操作を容易にキャプチャできるようにします。
図 16. SetWindowsHookEx() ロジックの例
クリップボードの内容も監視され、コピーされた情報が動的に記録されるようになっています。他のモジュールと同様にステータスログ機能も実装されており、HTTP GET リクエストを介して実行されます。以下に例を示します。
hxxp[:]//[C2_SERVER_IP]/[DRIVE_SERIAL]?k=Module:%20KeyLogger,%20Status:%20running,%20Message:%20Logger%20started%20with%20PID%209164
モジュールは、このステータスを HTTP POST リクエストの本文でもリレーします。
図 17. C2 へのステータスログの送信
収集されたデータは、図 18 と同様の HTTP POST リクエストを介して攻撃者に送信されます。
図 18. キーストロークログの送信
情報収集
攻撃者が「WMIComputerCSHARP」と呼ぶシステム調査モジュールが送り込まれることも確認されています。このモジュールは、感染したシステムと環境に関する情報を収集し、攻撃者に送信するために使用されます。スクリーンショット モジュールおよびキーロギングモジュールの設計と同様に、このモジュールは PowerShell と C# の組み合わせで実装されており、ランタイムコンパイルの使用が特徴です。
このモジュールは WMI を使用して感染システムのドメインメンバーシップ情報を照会します。その目的は、攻撃者が偵察を行って、価値の高い標的へのアクセスに成功したかどうかを判断するためだと考えられます。
図 19. 調査モジュールによるステータスログメッセージの収集
このプロセスの一環として、次の WMI クエリが実行されます。
SELECT Domain, PartOfDomain FROM Win32_ComputerSystem
SELECT DomainName FROM Win32_NTDomain WHERE ClientSiteName IS NOT NULL
さらに、%USERDNSDOMAIN% 環境変数のクエリも実行され、感染システムのドメインメンバーシップの列挙が試みられます。収集された情報は、他のモジュールの説明と同様に、攻撃者の C2 サーバーに送信されます。
図 20. ステータスログの実装例
永続化
永続化モジュールが送り込まれることも確認されています。このモジュールは、システムの再起動やユーザーセッションの終了後にメインのループメカニズムを確実に再実行するために必要に応じて使用できます。攻撃者はこのモジュールを使用することで、C2 通信チャネルを再確立でき、必要な追加モジュールを送り込むことができます。
このモジュールはまず、システムの再起動のたびに実行される PowerShell スクリプトの作成を試みます。次に %PROGRAMDATA% ディレクトリ内にランダムにディレクトリを生成し、永続化に必要なコンポーネントをそこに保存します。これらのコンポーネントには、いずれもランダムに命名された PowerShell スクリプト(PS1)とショートカットファイル(ICO)が含まれています。また、このスタートアップディレクトリには、ランダムに命名された悪意のある LNK ファイルも作成されます。このファイルは、先ほど作成された、システムの再起動のたびに実行する PowerShell スクリプトを指すように設定されています。
図 21. 永続化モジュールのファイル作成パラメータ
ICO ファイルは、モジュール自体の一部として送信される、Base64 でエンコードされた内容を使用して作成されます。PowerShell スクリプトの内容は、難読化された BLOB を C2 サーバーから取得して生成されます。サンプルでは、C2 サーバーは URL パス /transform でホストされていました。
図 22. 永続化ペイロードの取得
このプロセスのシミュレーション例を図 23 に示します。
図 23. 難読化された永続化ペイロードの送信シミュレーション
次にこの内容は PS1 ファイルに書き込まれ、今後実行できるように適切なパラメータで LNK ファイルが生成されます。難読化が解除されると、PowerShell の内容には、感染チェーンの初期段階で説明した C2 ポーリングプロセスを確立するためのロジックと同じものが含まれています。
図 24. 難読化解除後の永続化ペイロード
Talos は、攻撃者が必要に応じて展開できる追加のモジュールが存在すること、そしてこのフレームワークの柔軟性により、利用可能な機能を必要に応じて迅速に強化・拡張できることを高い確度で評価しています。
過去の侵入活動との関連性
この感染チェーンに関連するコードと機能を分析した結果、Skitnet/Bossnet を使用して感染システムに PowerShell モジュールを送り込んだ事例に関連する過去の報告で言及されていたコンポーネントとの類似性が確認されました。また、今回の攻撃で使用された C2 インフラと前述の報告で説明されている C2 インフラには、複数の共通点が見られました。さらに、前述の永続化モジュールによってドロップされた最終的な難読化解除ペイロードは、先ほどの報告にある PowerShell スクリプトを作成した主体と同じ主体によって作成された可能性が高いと、Talos は高い確度で評価しています。全体的な実装、コード全体にわたる特定の変数の使い方、そして C2 の URL 構造の一致がこの評価を裏付けています。両者のサンプルコードの比較を以下に示します。
図 25. 永続化ペイロード(左)と ProDaft による報告(右)の比較
図 25 からわかるように、2 つのサンプルの違いは、ミューテックス処理とスリープ期間の追加のみです。
Talos はこれらのマルウェアファミリのアクティビティ間の直接的な共通点は確認していませんが、今回送り込まれている PS1Bot マルウェアの設計アーキテクチャと機能には、以前 Talos が報告した別のマルウェアファミリ AHK Bot と類似点があることに気付きました。ドライブのシリアル番号に基づいて C2 の URL パスを導き出す手法は、両マルウェアファミリで共通しています。同様に、メインのポーリングスクリプトの使用と、それに続く専用モジュールの配信と実行も、AHK Bot の設計アーキテクチャと類似しています。また、両マルウェアファミリで利用可能なモジュールの種類にもいくつかの類似点があります。C2 との通信時に URL パラメータを多用する点も、両ファミリに共通する特徴です。
カバレッジ
今回の脅威は、以下の製品で検出してブロックすることが可能です。
Cisco Secure Endpoint(旧 AMP for Endpoints)は、この記事で説明したマルウェアの実行を阻止するのに最適です。Cisco Secure Endpoint の無料トライアルはこちらからお申し込みください。
Cisco Secure Email(旧 E メールセキュリティ)は、攻撃の一環として攻撃者が送りつける不正な電子メールをブロックします。Cisco Secure Email の無料トライアルはこちらからお申し込みください。
Threat Defense Virtual、適応型セキュリティアプライアンス、Meraki MX など、Cisco Secure Firewall(旧次世代ファイアウォールおよび Firepower NGFW)アプライアンスは、この脅威に関連する悪意のあるアクティビティを検出できます。
Cisco Secure Network/Cloud Analytics(Stealthwatch/Stealthwatch Cloud)は、ネットワークトラフィックを自動的に分析し、接続されているすべてのデバイスで、望ましくない可能性があるアクティビティをユーザーに警告します。
Cisco Secure Malware Analytics(Threat Grid)は、悪意のあるバイナリを特定し、シスコのすべてのセキュリティ製品に保護機能を組み込みます。
Cisco Secure Access は、ゼロトラストの原則に基づいて構築された、最新のクラウド提供型セキュリティサービスエッジ(SSE)です。Cisco Secure Access はユーザーがどこで作業していても、インターネット、クラウドサービス、プライベート アプリケーションへのシームレスかつ透過的でセキュアなアクセスを提供します。Cisco Secure Access の無料トライアルにご興味をお持ちの場合は、シスコのアカウント担当者または認定パートナーまでお問い合わせください。
Umbrella(シスコのセキュア インターネット ゲートウェイ(SIG))は、社内ネットワークの内外で悪意のあるドメイン、IP、URL への接続をブロックします。
Cisco Secure Web Appliance(旧 Web セキュリティアプライアンス)は、危険性のあるサイトを自動的にブロックし、ユーザーがアクセスする前に疑わしいサイトを検査します。
特定の環境および脅威データに対する追加の保護機能は、Firewall Management Center から入手できます。
Cisco Duo は、ユーザーに多要素認証を提供し、承認されたユーザーのみがネットワークにアクセスできるようにします。
オープンソースの Snort サブスクライバルールセットをお使いであれば、Snort.org で購入可能な最新のルールパックをダウンロードすることで、最新状態を維持できます。
これらの脅威の Snort SID は次のとおりです。
- Snort2:65231 ~ 65233
- Snort3:65231 ~ 65233
ClamAV でも、次の脅威を検出できます。
- Win.Backdoor.PS1Bot-10056514-0
- Win.Backdoor.PS1Bot-10056515-0
- Win.Backdoor.PS1Bot-10056516-0
- Win.Backdoor.PS1Bot-10056517-0
- Win.Backdoor.PS1Bot-10056518-0
- Win.Backdoor.PS1Bot-10056519-0
- Win.Backdoor.PS1Bot-10056520-0
- Win.Backdoor.PS1Bot-10056521-0
- Win.Backdoor.PS1Bot-10056522-0
- Win.Backdoor.PS1Bot-10056523-0
- Win.Backdoor.PS1Bot-10056524-0
- Win.Backdoor.PS1Bot-10056525-0
- Win.Backdoor.PS1Bot-10056526-0
- Win.Backdoor.PS1Bot-10056527-0
- Win.Backdoor.PS1Bot-10056528-0
- Win.Backdoor.PS1Bot-10056529-0
- Win.Backdoor.PS1Bot-10056530-0
- Win.Backdoor.PS1Bot-10056531-0
- Win.Backdoor.PS1Bot-10056532-0
- Win.Backdoor.PS1Bot-10056533-0
- Win.Backdoor.PS1Bot-10056534-0
- Win.Backdoor.PS1Bot-10056535-0
- Win.Backdoor.PS1Bot-10056536-0
- Win.Backdoor.PS1Bot-10056537-0
- Win.Backdoor.PS1Bot-10056538-0
- Win.Backdoor.PS1Bot-10056539-0
- Win.Backdoor.PS1Bot-10056540-0
- Win.Backdoor.PS1Bot-10056541-0
- Win.Backdoor.PS1Bot-10056542-0
侵入の痕跡(IOC)
この脅威の IOC は、こちらの GitHub リポジトリで提供しています。
本稿は 2025 年 8 月 12 日にTalos Group
Authors