TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する個人の調査・研究ログ

PowerGhost (まとめ)

【概要】

項目 内容
マルウェア種別 マイニングマルウェア
攻撃手法 PowerShell と EternalBlue を使用
感染多発地域 インド、ブラジル、コロンビア、トルコ
感染地域 欧州、北米全域
使用ツール WMI, Mimikatz, Eternalblue
使用スクリプト PowerShell
使用脆弱性 CVE-2018-8120 (Win32k の特権の昇格の脆弱性)


【ニュース】

◆企業のネットワーク狙う新種の仮想通貨採掘マルウェア「PowerGhost」 (ZDNet, 2018/07/31 11:11)
https://japan.zdnet.com/article/35123292/

◆企業ネットワークを狙う新たな仮想通貨マイナー「PowerGhost」が発見される (仮想通貨Watch, 2018/08/01 06:50)
https://crypto.watch.impress.co.jp/docs/news/1135862.html

◆企業内での拡散狙うファイルレスマイナー「PowerGhost」 - 「EternalBlue」なども悪用 (Security NEXT, 2018/08/01)
http://www.security-next.com/096289


【ブログ】

◆A mining multitool (SecureList, 2018/07/26 10:00)

Symbiosis of PowerShell and EternalBlue for cryptocurrency mining

https://securelist.com/a-mining-multitool/86950/

◆PowerGhost: Beware of ghost mining (kaspersky, 2018/07/30)
https://www.kaspersky.com/blog/powerghost-fileless-miner/23310/


【関連情報】

f:id:tanigawa:20180801203843p:plain
Geography of infections by the miner
出典: https://securelist.com/a-mining-multitool/86950/


【インディケータ情報】

■ハッシュ情報(MD5)

  • AEEB46A88C9A37FA54CA2B64AE17F248
  • 4FE2DE6FBB278E56C23E90432F21F6C8
  • 71404815F6A0171A29DE46846E78A079
  • 81E214A4120A4017809F5E7713B7EAC8


■FQDN(C&Cサーバ)

  • update.7h4uk.com
  • info.7h4uk.com


■IPアドレス(C&Cサーバ)

  • 185.128.43.62

Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2017