TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する個人の調査・研究ログ

*インディケータ情報

Amazonかたる複数種のフィッシングメールが出回る アカウント情報を入力しないよう注意を

【ニュース】 ◆Amazonかたる複数種のフィッシングメールが出回る アカウント情報を入力しないよう注意を (ニコニコニュース, 2018/10/19 17:47) https://news.nicovideo.jp/watch/nw4049957?news_ref=10_10 【公開情報】 ◆Amazon をかたるフィッシング (2018…

DropboxをC2サーバとして悪用する、日本を狙った新たなマルウェアを確認

【資料】 ◆DropboxをC2サーバとして悪用する、日本を狙った新たなマルウェアを確認 (LAC, 2018/09/25) https://www.lac.co.jp/lacwatch/people/20180925_001704.html 【関連情報】 ◆「Dropbox」のAPI経由で命令受ける「Dropapibot」 - 国内を標的に展開 (Sec…

「タイポスクワッティング」により Mac ユーザに迷惑アプリをダウンロードさせる攻撃を確認

【ニュース】 ◆「タイポスクワッティング」により Mac ユーザに迷惑アプリをダウンロードさせる攻撃を確認 (Trendmicro, 2018/08/03) https://blog.trendmicro.co.jp/archives/19376

A mining multitool

Geography of infections by the miner 出典: https://securelist.com/a-mining-multitool/86950/ 【ブログ】 ◆A mining multitool (SecureList, 2018/07/26 10:00) Symbiosis of PowerShell and EternalBlue for cryptocurrency mining https://securelist.…

MacマルウェアProtonの亜種、2年前に存在確認

【ニュース】 ◆MacマルウェアProtonの亜種、2年前に存在確認 (マイナビニュース, 2018/07/25 23:22) https://news.mynavi.jp/article/20180725-669407/

APT37 (まとめ)

APT37の標的先 出典: https://the01.jp/p0006529/ 【概要】 別名 APT37 (FireEye) Reaper Group123 ScarCruft (Kaspersky) Ricochet Chollima Red Eyes Dark Sleeper FreeMilk Sun Team 攻撃対象国 ロシア、ネパール、韓国、中国、インド、クウェート、ルー…

NavRAT Uses US-North Korea Summit As Decoy For Attacks In South Korea

【ブログ】 ◆NavRAT Uses US-North Korea Summit As Decoy For Attacks In South Korea (CISCO, 2018/05/31) https://blogs.cisco.com/security/talos/navrat-uses-us-north-korea-summit-as-decoy-for-attacks-in-south-korea 【まとめページ】 ◆APT37 (ま…

OilRig Deploys “ALMA Communicator” – DNS Tunneling Trojan

【ブログ】 ◆OilRig Deploys “ALMA Communicator” – DNS Tunneling Trojan (paloalto, 2017/11/08 13:00) https://researchcenter.paloaltonetworks.com/2017/11/unit42-oilrig-deploys-alma-communicator-dns-tunneling-trojan/

APT32 (まとめ)

【概要】 【公開情報】 ◆APT32 (FireEye) https://www.fireeye.jp/current-threats/apt-groups.html#apt32 ◆APT OceanLotus (APT-C-00) (SkyEye) https://github.com/kbandla/APTnotes/blob/master/2015/OceanLotusReport.pdf ◆Group: APT32, OceanLotus Gro…

Wicked (まとめ)

【ニュース】 ◆WICKED BOTNET USES PASSEL OF EXPLOITS TO TARGET IOT (threatpost, 2018/05/21) https://threatpost.com/wicked-botnet-uses-passel-of-exploits-to-target-iot/132125/ ⇒ http://malware-log.hatenablog.com/entry/2018/05/21/000000_2 ◆Io…

SynAck targeted ransomware uses the Doppelgänging technique

【ブログ】 ◆SynAck targeted ransomware uses the Doppelgänging technique (SecureList, 2018/05/07) https://securelist.com/synack-targeted-ransomware-uses-the-doppelganging-technique/85431/

攻撃者グループ "BlackTech"による "PLEAD"を使った日本への攻撃を確認

「PLEAD」を展開する攻撃手口 出典: https://www.lac.co.jp/lacwatch/people/20180425_001625.html 【公開情報】 ◆攻撃者グループ "BlackTech"による "PLEAD"を使った日本への攻撃を確認 (Lac, 2018/04/25) https://www.lac.co.jp/lacwatch/people/20180425_…

Metamorfo Campaigns Targeting Brazilian Users

【ニュース】 ◆Metamorfo Campaigns Targeting Brazilian Users (FireEye, 2018/04/24) https://www.fireeye.com/blog/threat-research/2018/04/metamorfo-campaign-targeting-brazilian-users.html

Analyzing Operation GhostSecret: Attack Seeks to Steal Data Worldwide

【ブログ】 ◆Analyzing Operation GhostSecret: Attack Seeks to Steal Data Worldwide (McAfee, 2018/04/24) https://securingtomorrow.mcafee.com/mcafee-labs/analyzing-operation-ghostsecret-attack-seeks-to-steal-data-worldwide

Decoding network data from a Gh0st RAT variant

【ブログ】 ◆Decoding network data from a Gh0st RAT variant (nccgroup, 2018/04/17) https://www.nccgroup.trust/uk/about-us/newsroom-and-events/blogs/2018/april/decoding-network-data-from-a-gh0st-rat-variant/ 【まとめ】 ◆APT27 (まとめ) http:/…

Ransomware XIAOBA Repurposed as File Infector and Cryptocurrency Miner

Infector code showing Coinhive injection; another variant even contains its own XMR configuration and miner binary An infected script attempting to load onto web browser, with CPU usage shown. 出典: https://blog.trendmicro.com/trendlabs-se…

「Apple」ユーザー狙うフィッシング - 「静岡からアクセスあった」と不安煽り、あらゆる情報を詐取

誘導先のフィッシングサイト 出典: http://www.security-next.com/092200 出典: https://www.antiphishing.jp/news/alert/apple_20180411.html 【ニュース】 ◆「Apple」ユーザー狙うフィッシング - 「静岡からアクセスあった」と不安煽り、あらゆる情報を詐…

Fake Software Update Abuses NetSupport Remote Access Tool

出典: https://www.fireeye.com/blog/threat-research/2018/04/fake-software-update-abuses-netsupport-remote-access-tool.html 【ブログ】 ◆Fake Software Update Abuses NetSupport Remote Access Tool (FireEye, 2018/04/05) https://www.fireeye.com/b…

Monero-Mining HiddenMiner Android Malware Can Potentially Cause Device Failure

出典: https://blog.trendmicro.com/trendlabs-security-intelligence/monero-mining-hiddenminer-android-malware-can-potentially-cause-device-failure/ 【ニュース】 ◆Monero-Mining HiddenMiner Android Malware Can Potentially Cause Device Failure …

Lazarus Group Targets More Cryptocurrency Exchanges and FinTech Companies

【ブログ】 ◆Lazarus Group Targets More Cryptocurrency Exchanges and FinTech Companies (Intezer, 2018/03/28 14:39) https://www.intezer.com/lazarus-group-targets-more-cryptocurrency-exchanges-and-fintech-companies/

日本の金融機関を標的にしたPanda Bankerを初めて観測

出典: https://www.arbornetworks.com/blog/asert/panda-banker-zeros-in-on-japanese-targets/ 【ブログ】 ◆日本の金融機関を標的にしたPanda Bankerを初めて観測 (ARBOR, 2018/03/27) http://jp.arbornetworks.com/blog20180327/ ◆Panda Banker Zeros in o…

楽天をかたるフィッシング (2018/03/23)

【ニュース】 ◆楽天をかたるフィッシング (2018/03/23) (フィッシング対策協議会, 2018/03/23) https://www.antiphishing.jp/news/alert/rakuten_20180323.html

北朝鮮のサイバー犯罪集団「Hidden Cobra」が新しくなったインプラント「Bankshot」でトルコの金融業界を狙う

【ブログ】 ◆北朝鮮のサイバー犯罪集団「Hidden Cobra」が新しくなったインプラント「Bankshot」でトルコの金融業界を狙う (McAfee, 2018/03/16) https://blogs.mcafee.jp/hidden-cobra-targets-turkish-financial-sector

人道支援組織を狙う標的型攻撃が韓国から発信

出典: http://ascii.jp/elem/000/001/647/1647929/ 【概要】 容疑者 snoopykiller@mail.ru 利用アカウント navermail.byethost3.com, nihon.byethost11.com 【ブログ】 ◆人道支援組織を狙う標的型攻撃が韓国から発信 (ASCII.jp, 2018/03/15 16:00) http://as…

APT15 is alive and strong: An analysis of RoyalCli and RoyalDNS

【ニュース】 ◆APT15 is alive and strong: An analysis of RoyalCli and RoyalDNS (nccgroup, 2018/03/10) https://www.nccgroup.trust/uk/about-us/newsroom-and-events/blogs/2018/march/apt15-is-alive-and-strong-an-analysis-of-royalcli-and-royaldns/

Masha and these Bears

【ブログ】 ◆Masha and these Bears (SecureList(Kaspersky), 2017/03/09 17:00) https://securelist.com/masha-and-these-bears/84311/ 【関連情報】 ◆APT28 (まとめ, 2014/10/27) ⇒ http://malware-log.hatenablog.com/entry/APT28

The Slingshot APT FAQ

出典: https://securelist.com/apt-slingshot/84312/ 【ブログ】 ◆The Slingshot APT FAQ (Securelist(Kaspersky), 2018/03/09 15:20) https://securelist.com/apt-slingshot/84312/ 【資料】 ◆The Slingshot APT (Kaspersky, 2018/03/12) https://s3-eu-wes…

「Hidden Cobra」が新たなインプラント「Bankshot」でトルコの金融業界を狙う

出典: https://blogs.mcafee.jp/hidden-cobra-targets-turkish-financial-sector 【ブログ】 ◆「Hidden Cobra」が新たなインプラント「Bankshot」でトルコの金融業界を狙う (McAfee, 2018/03/08) https://blogs.mcafee.jp/hidden-cobra-targets-turkish-fina…

OlympicDestroyer is here to trick the industry

出典: https://securelist.com/olympicdestroyer-is-here-to-trick-the-industry/84295/ 【ブログ】 ◆OlympicDestroyer is here to trick the industry (SecureList, 2018/03/08 17:00) https://securelist.com/olympicdestroyer-is-here-to-trick-the-indus…

The devil’s in the Rich header

【ブログ】 ◆The devil’s in the Rich header (SecureList, 2018/03/08 17:00) https://securelist.com/the-devils-in-the-rich-header/84348/


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2018