マルウェア分析

Turla、標的のマシンに秘密のバックドアを仕込む新たなマルウェア「TinyTurla」を展開

ニュースの概要 Cisco Talos は最近、ロシアの APT グループ Turla が使用する新たなバックドアを発見しました。米国、ドイツ、さらに最近ではアフガニスタンでも感染が確認されています。

2021年10月12日

Lokibot の感染チェーンの詳細

ニュースの概要 Lokibot は現在最も有名な情報窃盗型マルウェアの 1 つです。この記事では、最新の Lokibot キャンペーンの技術的な分析結果をご紹介します。Talos は、ドロッパーの第 3 ステージをアンパックする新しいスクリプトも作成しました。多くの Lokibot 攻撃では、複数のログイン情報やその他の機密情報が攻撃者に流出します。今回発見された最新のキャンペーンでは、被害者のマシン上で Lokibot を実行するために、マルチステージ型かつマルチレイヤ型の複雑なドロッパーが使用されています。

2021年1月14日

他人事ではない! ランサムウェアの脅威とその対策について

ランサムウェアの被害が拡大しており、システムが使用不能に陥り事業の継続を脅かす事態や、データが人質となり、ビットコインなどで身代金を支払わない限りデータを「晒す」と脅され、機密情報が漏洩してしまう被害に発展しています。 本ブログでは、ランサムウェアとは何なのか、増大する被害やインシデントの背景や、なぜ被害をうけてしまったのかという原因と、どうすれば防ぐことができたのかに関して Cisco Talos インシデント対応チームの対応事例も踏まえ、シスコは何がお手伝いできるのかについてのポイントをわかりやすく解説いたします。

2020年11月25日

注目の脅威:Valak が製造業や運輸業のネットワークにまで侵入

Valak は、2019 年初期から中期にかけて世界中で配信された、モジュラ型の情報窃取マルウェアです。Valak は強力な機能セットを備えているほか、Gozi/Ursnif や IcedID などの二次的なペイロードと併用されるケースが多くあります。

2020年7月30日

2020 年、WastedLocker の「大物狩り」

世界中の組織にとって深刻な脅威となっているランサムウェアは、システムの動作を阻害するために利用されます。感染した被害者には、システムを通常の動作に戻すための身代金(暗号通貨)が要求されます。攻撃者はランサムウェア攻撃に熟達するにつれて手口をさらに洗練させ、恐喝による収益を挙げています。

2020年7月20日

Dynamic Data Resolver(DDR):IDA プラグイン 1.0 ベータ版

IDA の静的リバースエンジニアリングでは問題が発生するケースが少なくありません。一部の値は実行時になって計算されるため、特定の基本ブロックで何が行われているのかを正確に把握するのが難しいからです。

2020年6月22日

注目の脅威:難読化と検出回避を複雑に組み合わせた情報窃取型マルウェア Astaroth

多種多様なマルウェアファミリが、企業と個人に絶え間なく押し寄せているのが脅威の現状です。大半のマルウェアファミリに共通しているのは、金銭の獲得を目的としていることです。つまり、さまざまな形で収益化できるエンドシステム内のデータを狙っているのです。

2020年5月28日

カスタムドロッパーのごまかし

ほとんどのユーザは、自分は安全だと思い込んで毎日のように Web サーフィンしています。ところが、情報を盗もうとするマルウェアは、感染したシステムのバックグラウンドで動作できます。その狙いはユーザのパスワードを盗み、オンラインでのその傾向をトラッキングして個人情報を乗っ取ることです。

2019年12月11日

政治的背景を利用した攻撃

米国大統領の予備選挙が間近に迫った現在、マルウェアの作成者でさえ、熱狂から逃れることはできません。Cisco Talos は最近、いくつかのマルウェア配信キャンペーンを発見しました。それらのキャンペーンでは、何人かの著名な政治家の名前と似顔絵が利用されていますが、その中心が米国のドナルド・トランプ大統領です。Talos が発見した一連のランサムウェア、スクリーンロッカー、リモートアクセス型トロイの木馬(RAT)などのマルウェアには、トランプ大統領や、ヒラリー・クリントン前大統領候補の似顔絵が描かれていました。

2019年11月22日

新リリース:IDA Pro に逆コンパイラ「Ghidra」を統合するプラグイン「GhIDA」

Cisco Talos は IDA Pro 向け GhIDA と Ghidraaas の 2 つのツールをリリースしました。 「GhIDA」は IDA ワークフローに逆コンパイラ Ghidra を統合する、IDA Pro 向けのプラグインです。シンボルの名前を変更、強調表示するための機能を備えているほか、操作画面やコメント機能が改善されるなどの特徴があります。

2019年9月19日