TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究・参照ログ

**必読レポート

The Week in Ransomware (まとめ)

【要点】 ◎BleepingComputerがまとめる 最新のRamsomware 情報。Twitter 情報もこまめに収集しているのが特徴 【目次】 記事 【ニュース】 ■2022年 ■2021年 ■2020年 ■2019年 ■2018年 関連情報 【関連まとめ記事】 記事 【ニュース】 ■2022年 ◇2022年9月 ◆The…

MagicWeb: NOBELIUM’s post-compromise trick to authenticate as anyone

【図表】 AD FS クレーム パイプラインがフェデレーション アプリケーションに入るユーザーに対してトークンを発行する方法 出典: https://www.microsoft.com/security/blog/2022/08/24/magicweb-nobeliums-post-compromise-trick-to-authenticate-as-anyone…

Does the Killnet Pose a Serious Threat to Our Industry?

【図表】 ツールとして登場したKillnet Killnetは、彼らのテレグラム・チャンネルで「軍団登録」に関する投稿を共有しました アノニマス集団がKillnetに宣戦布告 出典: https://socradar.io/does-the-killnet-pose-a-serious-threat-to-our-industry/ 【概要…

ランサムウェアスポットライト:Hive

【図表】 Hive検出台数の国別ランキング(2021年8月1日〜2022年2月28日) 出典:SPN Hive検出台数の業界別ランキング(2021年8月1日〜2022年2月28日) 出典:SPN Hive検出台数の月別推移(2021年8月1日〜2022年2月28日) 出典:SPN Hiveのリークサイトの情報…

Ransomware attacks need less than four days to encrypt systems

【図表】 攻撃目的の達成に要した時間(IBM) 2021年に脅威の行為者が使用したツール(IBM) 2019年にランサムウェア集団が使用したツール(IBM) 防御性能の比較(IBM) 出典: https://www.bleepingcomputer.com/news/security/ransomware-attacks-need-less-…

Emotetに新たな感染手法

【図表】 2022年1月27日に送信されたEmotetによりスレッドハイジャックされたメールのルアーサンプル Excel 4.0マクロの含まれる文書 出典: https://unit42.paloaltonetworks.jp/new-emotet-infection-method/ 【概要】 2022年1月21日 から新たな週報を使っ…

Law enforcement pressure forces ransomware groups to refine tactics in Q4 2021

【図表】 出典: https://www.coveware.com/blog/2022/2/2/law-enforcement-pressure-forces-ransomware-groups-to-refine-tactics-in-q4-2021 【公開情報】 ◆Law enforcement pressure forces ransomware groups to refine tactics in Q4 2021 (Coveware, 20…

How the new Emotet differs from previous versions

【図表】 Emotet Email Lure Emotet Document Lure Emotet の 初期チェックイン の構造 出典: https://intel471.com/blog/emotet-returns-december-2021 【概要】■内包するモジュール・SPAMモジュール ・電子メールの認証情報を盗むモジュール ・Outlook電子…

サイバーレスキュー隊(J-CRAT) 活動状況 (まとめ)

【資料】 ◆サイバーレスキュー隊(J-CRAT) 活動状況[2017 年度下半期] (J-CRAT(IPA), 2018/07/11) https://www.ipa.go.jp/files/000067854.pdf ⇒ http://malware-log.hatenablog.com/entry/2018/07/11/000000_4 ◆サイバーレスキュー隊(J-CRAT) 活動状況 […

“We wait, because we know you.” Inside the ransomware negotiation economics.

【ブログ】 ◆“We wait, because we know you.” Inside the ransomware negotiation economics. (Nccgroup, 2021/11/12) https://research.nccgroup.com/2021/11/12/we-wait-because-we-know-you-inside-the-ransomware-negotiation-economics/

Microsoft Digital Defense Report

【図表】 出典: https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RWMFIi 【概要】 Chapter 2: The state of cybercrime (サイバー犯罪の現状) Chapter 3: Nation state threats (国家の脅威) Chapter 4: Supply chain, IoT, and OT security (サ…

ランサムウェア攻撃の4割が「暗号化と暴露」型--巧妙化が進む2021年

【図表】 出典: https://japan.zdnet.com/article/35178124/ 【ニュース】 ◆ランサムウェア攻撃の4割が「暗号化と暴露」型--巧妙化が進む2021年 (ZDNet, 2021/10/15) https://japan.zdnet.com/article/35178124/

無線LANは壁があってもどこまで届くか、企業向けと家庭向け製品で電波強度を測定

【ニュース】 ◆無線LANは壁があってもどこまで届くか、企業向けと家庭向け製品で電波強度を測定 (日経XTECH, 2021/10/07) https://xtech.nikkei.com/atcl/nxt/column/18/01800/100600005/

ランサムウェア攻撃で悪用された正規ツールを解説

【概要】 ツール名 用途 使用組織 Cobalt Strike ペネトレーションツール Clop、Conti、DoppelPaymer、Egregor、Hello(WickrMe)、Nefilim、NetWalker、ProLock、RansomExx、Ryuk PsExec リモートアクセスツール DoppelPaymer、Nefilim、NetWalker、Maze、P…

フリーツールで未知マルウエアを検出

【概要】■解析ツール ツール名 備考 URL HollowsHunter マルウエア検出ツール https://github.com/hasherezade/hollows_hunter/ pe-sieve マルウエア検出ツール https://github.com/hasherezade/pe-sieve/ Tiny Tracer トレーサー https://github.com/hasher…

Q2 Ransomware Roll Up

【図表】 出典: https://www.digitalshadows.com/blog-and-research/q2-2021-ransomware-roll-up/ 【概要】 REvilなどは、身代金の支払いをモネロ(XMR)に切り替え Avaddon、Babuk Locker、DarkSide、Astro Lockerなどが活動を停止 Hive、Vice Society、Pro…

Chinese State-Sponsored Cyber Operations: Observed TTPs

【資料】 ◆Chinese State-Sponsored Cyber Operations: Observed TTPs (NSA, 2021/07/19) [中国の国家支援によるサイバー作戦。観察されたTTPs] https://media.defense.gov/2021/Jul/19/2002805003/-1/-1/1/CSA_CHINESE_STATE-SPONSORED_CYBER_TTPS.PDF 【関…

Kaseya supply chain attack targeting MSPs to deliver REvil ransomware

【図表】 出典: https://blog.truesec.com/2021/07/04/kaseya-supply-chain-attack-targeting-msps-to-deliver-revil-ransomware/ 【ブログ】 ◆Kaseya supply chain attack targeting MSPs to deliver REvil ransomware (Truesec, 2021/07/04) https://blog.…

コロニアル・パイプライン社へのランサムウェア攻撃 国土安全保障委員会の公聴会で語られた事件の背景とは

【図表】 出典: https://www.cloudgate.jp/security-news/colonial-pipeline-ransomware-attack-cause-and-why-it-paid-ransom.html 【概要】■タイムライン 項目 内容 2021/04/29 DarkSideが侵入 2021/05/07 データの暗号化、身代金の要求, 身代金の支払いを…

標的型攻撃の実態と対策アプローチ 第5版

【図表】 出典: https://www.macnica.net/pdf/mpressioncss_ta_report_2020_5.pdf 【公開情報】 ◆標的型攻撃の実態と対策アプローチ 第5版 (2021/05/21) https://www.macnica.net/mpressioncss/feature_07.html/ 【資料】 ◆標的型攻撃の実態と対策アプローチ…

ThreatLabZ Ransomware Review: The Advent of Double Extortion

【図表】 出典: https://info.zscaler.com/resources-industry-reports-threatlabz-ransomware-review 【資料】 ◆ThreatLabZ Ransomware Review: The Advent of Double Extortion (Zscaler, 2021/05/18) https://info.zscaler.com/resources-industry-report…

DarkSide Ransomware Operations – Preventions and Detections.

【ニュース】 ◆DarkSide Ransomware Operations – Preventions and Detections. (Blue Team Blog, 2021/05/14) [ダークサイド・ランサムウェアの運用 - 予防と検知] https://blueteamblog.com/darkside-ransomware-operations-preventions-and-detections 【…

Shining a Light on DARKSIDE Ransomware Operations

【図表】 公表されているDrakSide被害数の推移 (August 2020 to April 2021) DARKSIDE affiliate panel 出典: https://www.fireeye.com/blog/threat-research/2021/05/shining-a-light-on-darkside-ransomware-operations.html 【概要】 2020/08から活動 【…

A defender’s view inside a DarkSide ransomware attack

【図表】 出典: https://news.sophos.com/en-us/2021/05/11/a-defenders-view-inside-a-darkside-ransomware-attack/ 【ブログ】 ◆A defender’s view inside a DarkSide ransomware attack (Sophos, 2021/05/11) [DarkSideランサムウェア攻撃における防御側…

Q1 Ransomware Roundup

【図表】 出典: https://www.digitalshadows.com/blog-and-research/q1-ransomware-roundup/ 【ニュース】 ◆Q1 Ransomware Roundup (Digital Shadows, 2021/04/14) https://www.digitalshadows.com/blog-and-research/q1-ransomware-roundup/ 【関連情報】 ◆…

Internet Crime Report 2020 (FBI)

【図表】 出典: https://www.ic3.gov/Media/PDF/AnnualReport/2020_IC3Report.pdf 【資料】 ◆Internet Crime Report 2020 (FBI, 2021/03/20) https://www.ic3.gov/Media/PDF/AnnualReport/2020_IC3Report.pdf

Babuk Locker

【ブログ】 ◆Babuk Locker (Cyberint, 2021/01/29) Babuk, also known as 'Babuk Locker', 'Babyk' and initially 'Vasa Locker', is a ransomware threat utilizing big-game hunter tactics to 'steal, encrypt and leak' victim data in an attempt to ex…

Dark Halo Leverages SolarWinds Compromise to Breach Organizations

【ブログ】 ◆Dark Halo Leverages SolarWinds Compromise to Breach Organizations (Volexity, 2020/12/14) [Dark Halo、SolarWindsの妥協を利用して組織に侵入] https://www.volexity.com/blog/tag/darkhalo/

マルウェアがサンドボックスを回避する4つの手法とその詳細

【図表】 出典: https://scan.netsecurity.ne.jp/article/img/2020/04/30/44055/29787.html 【概要】■サンドボックス 3種類に分類可能 サンドボックスのタイプ 備考 ハイパーバイザータイプ ハイパーバイザーが管理する仮想マシンを構築し、その中で検体を実…

Ransomware Payments Up 33% As Maze and Sodinokibi Proliferate in Q1 2020

【図表】 出典: https://www.coveware.com/blog/q1-2020-ransomware-marketplace-report 【ニュース】 ◆Ransomware Payments Up 33% As Maze and Sodinokibi Proliferate in Q1 2020 (Coveware, 2020/04/29) [2020年第1四半期にMazeとSodinokibiが増殖する中…