TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する個人の調査・研究ログ

*マルウェア解析

2018年7月のカンボジア総選挙を狙った 中国のスパイグループ「TEMP.Periscope」による 広範かつグローバルな標的活動が明らかに

出典: https://www.fireeye.jp/blog/jp-threat-research/2018/07/chinese-espionage-group-targets-cambodia-ahead-of-elections.html 【ブログ】 ◆2018年7月のカンボジア総選挙を狙った 中国のスパイグループ「TEMP.Periscope」による 広範かつグローバルな…

Satori IoT Botnet Variant

D-Link exploitation attempts 出典: https://security.radware.com/ddos-threats-attacks/threat-advisories-attack-reports/satori-iot-botnet/ 【公開情報】 ◆Satori IoT Botnet Variant (Radware, 2018/06/19) https://security.radware.com/ddos-threat…

アナリスト向け国内カンファレンス「JSAC 2019」が開催決定 - 論文募集を開始

【ニュース】 ◆アナリスト向け国内カンファレンス「JSAC 2019」が開催決定 - 論文募集を開始 (Security NEXT, 2018/06/18) http://www.security-next.com/094577

NavRAT Uses US-North Korea Summit As Decoy For Attacks In South Korea

【ブログ】 【まとめ】 ◆APT37 (まとめ) http://malware-log.hatenablog.com/entry/APT37

Spartacus ransomware: introduction to a strain of unsophisticated malware

出典: https://blog.malwarebytes.com/threat-analysis/2018/04/spartacus-introduction-unsophisticated-ransomware/ 【概要】 解析に使用したツール de4dot 暗号アルゴリズム Rijndael 鍵 ファイルに埋め込まれたRSAキーで暗号化 【ブログ】 ◆Spartacus ra…

Analyzing Operation GhostSecret: Attack Seeks to Steal Data Worldwide

【ブログ】 ◆Analyzing Operation GhostSecret: Attack Seeks to Steal Data Worldwide (McAfee, 2018/04/24) https://securingtomorrow.mcafee.com/mcafee-labs/analyzing-operation-ghostsecret-attack-seeks-to-steal-data-worldwide

Decoding network data from a Gh0st RAT variant

【ブログ】 ◆Decoding network data from a Gh0st RAT variant (nccgroup, 2018/04/17) https://www.nccgroup.trust/uk/about-us/newsroom-and-events/blogs/2018/april/decoding-network-data-from-a-gh0st-rat-variant/

Ransomware XIAOBA Repurposed as File Infector and Cryptocurrency Miner

Infector code showing Coinhive injection; another variant even contains its own XMR configuration and miner binary An infected script attempting to load onto web browser, with CPU usage shown. 出典: https://blog.trendmicro.com/trendlabs-se…

Fake Software Update Abuses NetSupport Remote Access Tool

出典: https://www.fireeye.com/blog/threat-research/2018/04/fake-software-update-abuses-netsupport-remote-access-tool.html 【ブログ】 ◆Fake Software Update Abuses NetSupport Remote Access Tool (FireEye, 2018/04/05) https://www.fireeye.com/b…

米政府、北朝鮮製の破壊型マルウェアの情報を公開 - Windows XP向け機能も

【概要】 マルウェア名 sharpknot 攻撃者 Lazarus / Hidden Cobra / Dark Seoul 【ニュース】 ◆米政府、北朝鮮製の破壊型マルウェアの情報を公開 - Windows XP向け機能も1 (Security NEXT, 2018/03/29) http://www.security-next.com/091572 【資料】 ◆Malwa…

「サイバーレスキュー隊(J-CRAT)技術レポート2017」を公開

【ニュース】 ◆「サイバーレスキュー隊(J-CRAT)技術レポート2017」を公開 (IPA, 2018/03/29) https://www.ipa.go.jp/security/J-CRAT/report/20180329.html 【資料】 ◆サイバーレスキュー隊(J-CRAT)技術レポート2017 (IPA, 2018/03/29) https://www.ipa.go…

Unraveling ThreadKit: New document exploit builder used to distribute The Trick, Formbook, Loki Bot and other malware

【ブログ】 ◆Unraveling ThreadKit: New document exploit builder used to distribute The Trick, Formbook, Loki Bot and other malware (Proofpoint, 2018/03/25) https://www.proofpoint.com/us/threat-insight/post/unraveling-ThreadKit-new-document-…

人道支援組織を狙う標的型攻撃が韓国から発信

出典: http://ascii.jp/elem/000/001/647/1647929/ 【概要】 容疑者 snoopykiller@mail.ru 利用アカウント navermail.byethost3.com, nihon.byethost11.com 【ブログ】 ◆人道支援組織を狙う標的型攻撃が韓国から発信 (ASCII.jp, 2018/03/15 16:00) http://as…

OlympicDestroyer is here to trick the industry

出典: https://securelist.com/olympicdestroyer-is-here-to-trick-the-industry/84295/ 【ブログ】 ◆OlympicDestroyer is here to trick the industry (SecureList, 2018/03/08 17:00) https://securelist.com/olympicdestroyer-is-here-to-trick-the-indus…

The devil’s in the Rich header

【ブログ】 ◆The devil’s in the Rich header (SecureList, 2018/03/08 17:00) https://securelist.com/the-devils-in-the-rich-header/84348/

OLYMPIC DESTROYER

【資料】 ◆OLYMPIC DESTROYER (udurrani, 2018/02/26) http://udurrani.com/exp0/olympic_destroyer.pdf

New Satori Botnet Variant Enslaves Thousands of Dasan WiFi Routers

出典: https://blog.radware.com/security/botnets/2018/02/new-satori-botnet-variant-enslaves-thousands-dasan-wifi-routers/ 【ニュース】 ◆New Satori Botnet Variant Enslaves Thousands of Dasan WiFi Routers (Radware, 2018/02/18) https://blog.ra…

Gold Dragonによるオリンピックへのマルウェア攻撃が拡大;ターゲットのシステムに常駐

【ブログ】 ◆Gold Dragonによるオリンピックへのマルウェア攻撃が拡大;ターゲットのシステムに常駐 (McAfee, 2018/02/05) https://blogs.mcafee.jp/gold-dragon-widens-olympics-malware-attacks

Cryptomining: Harmless Nuisance or Disruptive Threat?

【ブログ】 ◆Cryptomining: Harmless Nuisance or Disruptive Threat? (CrowdStrike, 2018/01/25) https://www.crowdstrike.com/blog/cryptomining-harmless-nuisance-disruptive-threat/ 【まとめ情報】 ◆クリプトジャッキング / Cryptojacking (まとめ) ht…

CVE-2015-8651 (Flash up to 20.0.0.228/235) and Exploit Kits

【ブログ】 ◆CVE-2015-8651 (Flash up to 20.0.0.228/235) and Exploit Kits (MDNC, 2018/01/25) https://malware.dontneedcoffee.com/2016/01/cve-2015-8651.html

Masuta : Satori Creators’ Second Botnet Weaponizes A New Router Exploit.

出典: https://blog.newskysecurity.com/masuta-satori-creators-second-botnet-weaponizes-a-new-router-exploit-2ddc51cc52a7 【ブログ】 ◆Masuta : Satori Creators’ Second Botnet Weaponizes A New Router Exploit. (newskysecurity, 2018/01/23) https…

Korea In The Crosshairs

出典: https://blog.talosintelligence.com/2018/01/korea-in-crosshairs.html 【ブログ】 ◆Korea In The Crosshairs (Talos, 2018/01/16) http://blog.talosintelligence.com/2018/01/korea-in-crosshairs.html 【まとめ】 ◆APT37 (まとめ) http://malware-…

平昌オリンピックを標的とした不審な文書

【ニュース】 ◆平昌オリンピックを標的とした不審な文書 (McAfee Blog, 2018/01/11) https://blogs.mcafee.jp/maliciousdocumenttargetspyeongchangolympics ◆平昌オリンピックを狙ったサイバー攻撃が発生 (Ascii.jp, 2018/01/11) http://ascii.jp/elem/000/…

金融取引情報を狙うマルウェア 「Emotet」

Emotet の配布および動作方式 出典: https://mjp.ahnlab.com/site/securitycenter/securitycenterboard/analysisReportView.do?seq=2363&curPage= 【概要】 項目 内容 発見時期 2014年 感染方法 スパムボットネットを通じて配布 種別 金融取引情報を盗み取る…

Leviathan: Espionage actor spearphishes maritime and defense targets

出典: Microsoft Publisherファイルによって実行される悪質なスクリプト 【ブログ】 ◆Leviathan: Espionage actor spearphishes maritime and defense targets (Proofpoint, 2017/10/16) https://www.proofpoint.com/us/threat-insight/post/leviathan-espio…

コンピューターウイルスは「検知ツールの目をかいくぐろう」と考えている

【ニュース】 ◆コンピューターウイルスは「検知ツールの目をかいくぐろう」と考えている (ASCII.jp, 2017/10/13 11:00) http://ascii.jp/elem/000/001/565/1565866/

FIN7 グループ、新たな攻撃に JavaScript と情報を窃取する DLL の亜種を使用

出典: https://gblogs.cisco.com/jp/2017/10/talos-fin7-stealer/ 【ブログ】 ◆FIN7 グループ、新たな攻撃に JavaScript と情報を窃取する DLL の亜種を使用 (CISCO, 2017/10/12) https://gblogs.cisco.com/jp/2017/10/talos-fin7-stealer/

Retefe banking Trojan leverages EternalBlue exploit in Swiss campaigns

Overview of proxy injection used by Retefe 出典: https://www.proofpoint.com/us/threat-insight/post/retefe-banking-trojan-leverages-eternalblue-exploit-swiss-campaigns 【ブログ】 ◆Retefe banking Trojan leverages EternalBlue exploit in Swiss…

Androidバンキングトロイの木馬、SMSフィッシングで拡散中

C&CサーバーのIPアドレスとポート番号の動的な取得の流れ 出典: http://ascii.jp/elem/000/001/541/1541702/ 【概要】 機能 電話帳の連絡先宛にフィッシングSMSを送信する 受信SMSなどの機密情報をリモートサーバーに送信する C&Cサーバーから提供されたAndr…

マルウェア解析に必要な素養

【公開情報】 ◆マルウェア解析に必要な素養 (友利奈緒, 2017/09/03) https://hackmd.io/s/S1kLEr5x


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2017