TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究・参照ログ

新生銀行カードを騙るメール

【独自情報】

 11/19 から 11/21 にかけ新生銀行カードを騙るメールを十数通受け取っています。
 文面は以下のようになります

送信元 新生銀行カード
Subject 新生銀行カード利用確認
通信先 topドメイン(例: hxxps://aplus.co.jp.cuilu.top/)

新生銀行カード利用いただき、ありがとうございます。
このたび、ご本人様のご利用かどうかを確認させていただきたいお取引がありましたので、誠に勝手ながら、カードのご利用を一部制限させていただき、ご連絡させていただきました。
つきましては、以下へアクセスの上、カードのご利用確認にご協力をお願い致します。
お客様にはご迷惑、ご心配をお掛けし、誠に申し訳ございません。
何卒ご理解いただきたくお願い申しあげます。
ご回答をいただけない場合、カードのご利用制限が継続されることもございますので、予めご了承下さい。
■ご利用確認はこちら
hxxps://aplus.co.jp.cuilu.top/
弊社は、インターネット上の不正行為の防止・抑制の観点からサイトとしての信頼性・正当性を高めるため、
大変お手数ではございますが、下記URLからログインいただき、
hxxps://aplus.co.jp.cuilu.top/
ご不便とご心配をおかけしまして誠に申し訳ございませんが、
何とぞご理解賜りたくお願い申しあげます。

                                                                                                                                            • -

> ■担当部署:株式会社アプラス お客さま相談室
>〒105-0011
> 住所:大阪府吹田市豊津町9番1号 パシフィックマークス江坂
> 電話番号:0570-001-770
>月~金(土日祝・年末年始休)
> 受付時間/9:30~17:30
> 責任者:個人情報管理責任者(個人情報管理室管掌役員)
> 新生銀行カードでは、お客さまの個人情報を適切に保護するため、その取り扱いにつきましては細心の注意を払っています。
> hxxps://aplus.co.jp.cuilu.top/
> ■本メールの送信アドレスは送信専用となっております。返信メールでのお問い合わせは承りかねますので、あらかじめご了承願います。

http/https を hxxp/hxxps に変更

Emotet (まとめ)

【要点】

◎2014年に発見されたトロイの木馬。当初は銀行口座の認証情報を窃取するマルウェアだった。のちに、ボットネット化、ワーム機能の搭載、マルウェア配信機能などが、モジュールとして追加された。TA542 / Mummy Spider が攻撃を行っていると考えられている。
Emotetが 7/14から活動を再開, 7/17からメール送信再開
2020/10/14 から活動再開(小休止明け)

【図表】

f:id:tanigawa:20201123090023p:plain
2018/01/01~2020/11/22の状況

f:id:tanigawa:20201123090403p:plain
11月はほぼ活動停止状態
2020年11月の状況 (11/01 ~11/22)

f:id:tanigawa:20201101103506p:plain
2020年10月の状況

f:id:tanigawa:20201024194238p:plain
2020年09月の状況


[独自情報] URLhouse.abuse.ch のURL情報(約30万件)から 約10万件のEmotet 関係の情報を抽出し、独自に時系列(日別)に新規URL数をプロット(2020/10/15に更新)
※: 2019/06から2019/09半ばまで、一時休止状態
※: 2019/12末から活動が一時休止状態になるが、2020/01/13から復活
※: 2020/02/10から再び休止状態となるが、2020/07/14から復活、2020/07/17から活動活発化


==【目次】==

  • 【要点】
  • 【図表】
  • 概要
    • 【辞書】
    • 【概要】
    • 【攻撃組織】
    • 【攻撃手法】
    • 【注意喚起】
    • 【最新情報】
    • 【インシデント一覧】
  • 記事
    • 【ニュース】
    • 【ブログ】
    • 【公開情報】
    • 【インシデント情報】
    • 【注意喚起】
    • 【アナウンス】
    • 【図表】
  • 解析情報
    • 【IoC情報】
    • 【Twitter】
    • 【関連情報】
    • 【解析情報】
  • 関連情報
    • 【関連まとめ記事】

概要

【辞書】

◆Emotet (Wikipedia)
https://en.wikipedia.org/wiki/Emotet

◆Emotet (MalwareBytes)
https://www.malwarebytes.com/emotet/

◆Emotet (ATT&CK)
https://attack.mitre.org/software/S0367/

【概要】
項目 内容
分類 バンキングマルウェア、現在は別のマルウェアの初期感染に利用されることが多い
特徴 ライブラリファイルを用いて機能を追加・カスタマイズが可能(モジュラー型のトロイの木馬)
活動時期 2014~
使用組織 TA542(Mummy Spider)
侵入方法 メールで侵入
感染方法 添付ファイル・外部リンク
感染拡大 外部ドライブの認証情報よりパスワードを取得し、SMB経由で共有ドライブへアクセス
パスワードリストを用いてネットワーク内の端末に対して総当たり攻撃
連携マルウェア Trickbot, Ryuk, Qbot(Qakbot), Zloader
【攻撃組織】
組織名 別名
TA542 Mummy Spider

※ 2015年までは、闇サイトで販売していたが、その後は TA542 が独占的に使用しているもよう(CrowdStrike)

【攻撃手法】

■2020年7月期の攻撃

◇2020/07/17~

  • マクロを利用


◇2020/09/01~

  • 暗号化ZIP
  • ウイルス対策ベンダーを詐称


◇2020/10/14~

  • WindowsやOfficeのアップデート通知を装う手口
【注意喚起】

◆マルウエア Emotet の感染に関する注意喚起 (JPCERT/CC, 2019/11/27)
https://www.jpcert.or.jp/at/2019/at190044.html
https://malware-log.hatenablog.com/entry/2019/11/27/000000_4

◆【重要】マルウェアEmotetの感染に関する注意喚起 (中央大学, 2020/09/29)
https://www.chuo-u.ac.jp/aboutus/informational/itcenter/news/2020/09/47047/
https://malware-log.hatenablog.com/entry/2020/09/29/000000_3

【最新情報】

◆マルウェア「Emotet」の攻撃急増、米CISAも警告 (ZDNet, 2020/10/08 14:20)
https://japan.zdnet.com/article/35160661/
https://malware-log.hatenablog.com/entry/2020/10/08/000000_1

◆「Emotet」対策でパスワード付きzip添付ファイルのブロックを推奨 - 米政府 (Security NEXT, 2020/10/08)
https://www.security-next.com/119360
https://malware-log.hatenablog.com/entry/2020/10/08/000000_2

◆進化を続けるマルウェア「Emotet」 怪しく見えないメールも警戒を (ITmedia, 2020/10/15 08:10)
https://www.itmedia.co.jp/news/articles/2010/15/news058.html
https://malware-log.hatenablog.com/entry/2020/10/15/000000

◆マルウェア「Emotet」が「Office」アップデートを装う新たな手口 (ZDNet, 2020/10/16 12:06)
https://japan.zdnet.com/article/35161046/
https://malware-log.hatenablog.com/entry/2020/10/16/000000

◆京セラ従業員PCがウイルス感染、偽装メールを大量送信 個人情報流出の恐れ (京都新聞, 2020/10/16 22:10)
https://www.kyoto-np.co.jp/articles/-/383446
https://malware-log.hatenablog.com/entry/2020/10/16/000000_6

◆「Emotet」に感染、送受信メールが流出した可能性 - 京セラ (Security NEXT, 2020/10/19)
https://www.security-next.com/119699
https://malware-log.hatenablog.com/entry/2020/10/19/000000

◆Emotet、Windows Update装いマルウェアをインストールさせる新手口 (マイナビニュース, 2020/10/20 21:36)
https://news.mynavi.jp/article/20201020-1427489/
https://malware-log.hatenablog.com/entry/2020/10/20/000000_3

◆日本でもマルウェア「Emotet」のバラマキ攻撃拡大 (ZDNet, 2020/10/21 12:30)
https://japan.zdnet.com/article/35161256/
https://malware-log.hatenablog.com/entry/2020/10/21/000000

◆Emotet malware now wants you to upgrade Microsoft Word (BleepingComputer, 2020/10/24)
[Emotetマルウェアは今、Microsoft Wordをアップグレードすることを望んでいる]
https://www.bleepingcomputer.com/news/security/emotet-malware-now-wants-you-to-upgrade-microsoft-word/
https://malware-log.hatenablog.com/entry/2020/10/24/000000_1

◆大量スパム配信から「Emotet」に攻撃トレンドがシフト - OS非標準のzip暗号化で検知回避か (Security NEXT, 2020/10/26)
https://www.security-next.com/119979
https://malware-log.hatenablog.com/entry/2020/10/26/000000

【インシデント一覧】
感染日 報道日 被害組織 被害規模 備考
続きを読む

中国ハッカーグループAPT10が日本の自動車関連企業等を攻撃か

【ニュース】

◆中国ハッカーグループAPT10が日本の自動車関連企業等を攻撃か (サイバーセキュリティ総研, 2020/11/22)
https://cybersecurity-info.com/news/中国ハッカーグループapt10が日本の自動車関連企業/

MS365のMFAが効かない基本認証。基本認証を無効化していないMS365が狙われている。

【ニュース】

◆MS365のMFAが効かない基本認証。基本認証を無効化していないMS365が狙われている。 (Yahoo!, 2020/11/21)
https://news.yahoo.co.jp/byline/ohmototakashi/20201121-00208854/

Dridex (まとめ)

概要

【読み方】

  • ドライデックス

【別名】

マルウェア名 命名機関
Dridex Trendmicro
Bugat Symantec
Cridex


【辞書】

◆Dridex (Wikipedia)
https://en.wikipedia.org/wiki/Dridex

◆Dridex (Malpedia)
https://malpedia.caad.fkie.fraunhofer.de/details/win.dridex

◆Dridex (Any.run)
https://any.run/malware-trends/dridex

続きを読む

APT10 / MenuPass (まとめ)

概要

【辞書】

◆Stone Panda (Malpedia)
https://malpedia.caad.fkie.fraunhofer.de/actor/stone_panda

◆menuPass (ATT&CK)
https://attack.mitre.org/groups/G0045/

◆ChessMaster (IBM X-Force)
https://exchange.xforce.ibmcloud.com/collection/ChessMaster-6475155a00cd56ae521e99ec453b50ec/reports


【別名】

攻撃組織名 命名組織
APT10 FireEye
menuPass UNIT42(Paloalto), Trend Micro, 一般
Stone Panda CrowdStrike
Red Apollo PWC
CVNX BAE Systems
POTASSIUM Microsoft
Cicada Symantec


【使用マルウェア】

マルウェア名 備考
Poison Ivy
PlugX
ChChes
Anel
Cobalt_strike
Redleaves
Quasar_rat
Trochilus_rat
Emdivi ?(確認中)


【使用ツール】

ツール名 備考
mimikatz
psexec
pwdump
uppercut


【キャンペーン】

オペレーション名 備考
Cloud Hopper


【メンバー】

氏名 備考
Zheng Yanbin C&Cサーバの調達が任務
Gao Qiang(高強) サイバースパイ行為の実行犯
Zhang Shilong(張世龍) Gaoの友人
An Zhiqiang(安志強) 天津天驕易業科技発展有限公司の法人代表


【近況】

■2018年

  • 米国が2名を指名手配

■2019年

  • 日本での活動は減少傾向
  • アジアや海外での活動が目立つ

【最新情報】

◆Japan-Linked Organizations Targeted in Long-Running and Sophisticated Attack Campaign (Symantec, 2020/11/17)
[日系組織を標的とした長期にわたる巧妙な攻撃キャンペーン]

Evidence that advanced persistent threat group Cicada is behind attack campaign targeting companies in 17 regions and multiple sectors.
[先進的な永続的脅威グループ「Cicada」が、17の地域と複数のセクターの企業を標的とした攻撃キャンペーンの背後にいることを示す証拠]

https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/cicada-apt10-japan-espionage
https://malware-log.hatenablog.com/entry/2020/11/17/000000_6

続きを読む

SAD DNS (まとめ)

【ニュース】

◆DNS cache poisoning poised for a comeback: Sad DNS (ZDNet, 2020/11/12 18:48)
[DNSキャッシュポイズニングがカムバックの準備をしています。Sad DNS]

Researchers at UC Riverside have discovered a new way to revitalize old Domain Name System servers cache poisoning attacks: Sad DNS. This is nasty, bad security news
[UCリバーサイドの研究者が、古いドメインネームシステムサーバーのキャッシュポイズニング攻撃を復活させる新しい方法を発見しました。悲しいDNS。これは厄介な、セキュリティ上の悪いニュース]

https://www.zdnet.com/article/dns-cache-poisoning-poised-for-a-comeback-sad-dns/
https://malware-log.hatenablog.com/entry/2020/11/12/000000_2

◆DNSキャッシュポイズニングの新たな手法「SAD DNS」、研究者が発見 (ZDNet, 2020/11/13 12:39)
https://japan.zdnet.com/article/35162418/
https://malware-log.hatenablog.com/entry/2020/11/13/000000_2

◆最新鋭のサイバー攻撃「SAD DNS」についてCloudflareが解説、その巧妙な手口とは? (Gigazine, 2020/11/20 08:00)
https://gigazine.net/news/20201120-cloudflare-sad-dns/
https://malware-log.hatenablog.com/entry/2020/11/20/000000_3


【公開情報】

◆SAD DNS (UCR, 2020/11/12)
https://www.cs.ucr.edu/~zhiyunq/SADDNS.html
https://malware-log.hatenablog.com/entry/2020/11/13/000000_5


【関連まとめ記事】

全体まとめ

◆攻撃手法 (まとめ)
https://malware-log.hatenablog.com/entry/Attack_Method

最新鋭のサイバー攻撃「SAD DNS」についてCloudflareが解説、その巧妙な手口とは?

【ニュース】

◆最新鋭のサイバー攻撃「SAD DNS」についてCloudflareが解説、その巧妙な手口とは? (Gigazine, 2020/11/20 08:00)
https://gigazine.net/news/20201120-cloudflare-sad-dns/


【関連まとめ記事】

全体まとめ
 ◆攻撃手法 (まとめ)

◆SAD DNS (まとめ)
https://malware-log.hatenablog.com/entry/SAD_DNS

フィッシングで拡散したDridexの解析レポートをキヤノンMJが公開

【ニュース】

◆フィッシングで拡散したDridexの解析レポートをキヤノンMJが公開 (マイナビニュース, 2020/11/20 14:44)
https://news.mynavi.jp/article/20201120-1511629/


【関連まとめ記事】

全体まとめ
 ◆マルウェア / Malware (まとめ)
  ◆バンキングマルウェア (まとめ)

◆Dridex (まとめ)
https://malware-log.hatenablog.com/entry/Dridex


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2020