TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究・参照ログ

*マルウェア解析

ランサムウェア「Royal」が再登場し、コールバック型フィッシング攻撃を実施

【図表】 ランサムウェア「Royal」の攻撃フロー ランサムウェア「Royal」による攻撃の対象地域(国別) 出典: https://www.trendmicro.com/ja_jp/research/23/a/conti-team-one-splinter-group-resurfaces-as-royal-ransomware-wit.html 【ブログ】 ◆ランサ…

Play / PlayCrypt (まとめ)

【辞書】 ◆PLAY (Malpedia) https://malpedia.caad.fkie.fraunhofer.de/details/win.play 【Yara Rules】 ◆win_play_auto (Malpedia, 20221125) https://malpedia.caad.fkie.fraunhofer.de/details/win.play 【ニュース】■2022年◇2022年12月 ◆Play ransomwar…

TommyLeaks and SchoolBoys: Two sides of the same ransomware gang

【図表】 TommyLeaksの身代金請求書 (出典 BleepingComputer) SchoolBoys Ransomware Gang の身代金要求書 (出典 BleepingComputer) SchoolBoy's Ransomware Gangの交渉サイト (出典 BleepingComputer.com) TommyLeaksの交渉サイト (出典 BleepingComputer.c…

BianLian Ransomware Encrypts Files in the Blink of an Eye

【ブログ】 ◆BianLian Ransomware Encrypts Files in the Blink of an Eye (BlackBerry, 2022/10/13) https://blogs.blackberry.com/en/2022/10/bianlian-ransomware-encrypts-files-in-the-blink-of-an-eye

Dark Web Profile: Play Ransomware

【ブログ】 ◆Dark Web Profile: Play Ransomware (SOCRadar, 2022/10/10) [ダークウェブのプロファイル: Play Ransomware] https://socradar.io/dark-web-profile-play-ransomware/

Malware Analysis Report (AR22-277A) MAR-10365227-1.v1 CovalentStealer

【公開情報】 ◆MAR-10365227-1.v1 CovalentStealer (CISA, 2022/10/04) https://www.cisa.gov/uscert/ncas/analysis-reports/ar22-277a

新たなランサムウェア「Play」:既存の攻撃手口に類似

【図表】 出典: https://www.trendmicro.com/ja_jp/research/22/i/play-ransomware-s-attack-playbook-unmasks-it-as-another-hive-aff.html 【ブログ】 ◆新たなランサムウェア「Play」:既存の攻撃手口に類似 (Trendmicro, 2022/10/03) 「Play」は2022年6月…

LockBit ransomware builder leaked online by “angry developer”

【図表】 3xp0rtのツイート LockBit 3.0のビルダーファイル 出典 BleepingComputer LockBit 3.0の設定ファイル 出典 BleepingComputer LockBit 3.0 builderによって作成されたランサムウェアの実行ファイル 出典 BleepingComputer ロックビット3.0暗号化復号…

PLAY Ransomware analysis

【ブログ】 ◆PLAY Ransomware analysis (ChuongDong, 2022/09/03) https://chuongdong.com/reverse%20engineering/2022/09/03/PLAYRansomware/ 【関連まとめ記事】◆全体まとめ ◆マルウェア / Malware (まとめ) ◆ランサムウェア (まとめ) ◆Play / PlayCrypt (…

THREAT ANALYSIS REPORT: LockBit 2.0 - All Paths Lead to Ransom

【訳】脅威分析レポート:LockBit 2.0 - すべての道は身代金につながる 【ブログ】 ◆THREAT ANALYSIS REPORT: LockBit 2.0 - All Paths Lead to Ransom (Cyberreason, 2022/07/07) [脅威分析レポート:LockBit 2.0 - すべての道は身代金につながる] https://…

「CFF」でマルウエア解析を妨害

【ニュース】 ◆「CFF」でマルウエア解析を妨害 (日経XTECH, 2022/07/05) https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/111900071/062000033/ 【関連まとめ記事】◆全体まとめ ◆偽装手法 (まとめ) ◆制御フロー平坦化 / Control Flow Flattening / CFF (まと…

HUI Loaderの分析

【ブログ】 ◆HUI Loaderの分析 (JPCERT/CC, 2022/05/16) https://blogs.jpcert.or.jp/ja/2022/05/HUILoader.html 【関連まとめ記事】◆全体まとめ ◆マルウェア / Malware (まとめ) ◆ダウンローダ (まとめ) ◆HUI Loader (まとめ) https://malware-log.hatenabl…

Industroyer2: Industroyer reloaded

【図表】 出典: https://www.welivesecurity.com/2022/04/12/industroyer2-industroyer-reloaded/ 【公開情報】 ◆Industroyer2: Industroyer reloaded (WeLiveSecurity, 2022/04/12 11:28) [インダストロイヤー2 インダストロイヤーのリロード] This ICS-cap…

ウクライナの政府機関、非営利団体、IT 組織の機能停止を目的とするワイパー型マルウェア WhisperGate

【公開情報】 ◆ウクライナの政府機関、非営利団体、IT 組織の機能停止を目的とするワイパー型マルウェア WhisperGate (BlackBerry, 2022/04/03) https://blogs.blackberry.com/ja/jp/2022/03/threat-thursday-whispergate-wiper 【関連まとめ記事】◆全体まと…

AcidRain | A Modem Wiper Rains Down on Europe

【公開情報】 ◆AcidRain | A Modem Wiper Rains Down on Europe (SentinelLabs, 2022/03/31) https://www.sentinelone.com/labs/acidrain-a-modem-wiper-rains-down-on-europe/ 【関連まとめ記事】◆全体まとめ ◆マルウェア / Malware (まとめ) ◆破壊型マルウ…

マルウエアのコードを読み解く

【ニュース】 ◆マルウエアのコードを読み解く (日経XTECH, 2021/12/31) https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/111900071/122000026/

ランサムウェア「LockBit2.0」の内部構造を紐解く

【公開情報】 ◆ランサムウェア「LockBit2.0」の内部構造を紐解く (MBSD, 2021/10/27) https://www.mbsd.jp/research/20211027/WhitePaper/ 【資料】 ◆ランサムウェア「LockBit2.0」の内部構造を紐解く (MBSD, 2021/10/27) https://www.mbsd.jp/2021/10/27/as…

マルウェア「Zloader」の歴史と攻撃手法を概説

【ブログ】 ◆マルウェア「Zloader」の歴史と攻撃手法を概説 (Trendmicro, 2021/10/20) https://blog.trendmicro.co.jp/archives/29004 【関連まとめ記事】◆全体まとめ ◆マルウェア / Malware (まとめ) ◆ダウンローダ (まとめ) ◆Zloader (まとめ) https://mal…

ランサムウェア「LockBit 2.0」の内部構造を紐解く

【ブログ】 ◆ランサムウェア「LockBit 2.0」の内部構造を紐解く (MBSD, 2021/10/19) https://www.mbsd.jp/research/20211019/blog/ 【関連まとめ記事】◆全体まとめ ◆マルウェア / Malware (まとめ) ◆ランサムウェア (まとめ) ◆LockBit (まとめ) https://malw…

Massive New AdLoad Campaign Goes Entirely Undetected By Apple’s XProtect

【ブログ】 ◆Massive New AdLoad Campaign Goes Entirely Undetected By Apple’s XProtect (SentinelLABS, 2021/08/11) [大規模な新しいAdLoadキャンペーンがAppleのXProtectに全く検知されずに終了] https://labs.sentinelone.com/massive-new-adload-campa…

フリーツールで未知マルウエアを検出

【概要】■解析ツール ツール名 備考 URL HollowsHunter マルウエア検出ツール https://github.com/hasherezade/hollows_hunter/ pe-sieve マルウエア検出ツール https://github.com/hasherezade/pe-sieve/ Tiny Tracer トレーサー https://github.com/hasher…

Darkhotel組織の侵入隔離ネットワークのRamsayコンポーネント分析

【公開情報】 ◆Darkhotel組織の侵入隔離ネットワークのRamsayコンポーネント分析 (Antiy, 2021/05/22) https://www.antiy.cn/research/notice&report/research_report/20200522.html 【関連まとめ記事】◆全体まとめ ◆攻撃組織 / Actor (まとめ) ◆標的型攻撃…

Analysis of MountLocker

【ブログ】 ◆Analysis of MountLocker (Finch4(GITHUB), 2021/05/18) https://github.com/Finch4/Malware-Analysis-Reports/tree/master/MountLocker 【関連まとめ記事】◆全体まとめ ◆マルウェア / Malware (まとめ) ◆ランサムウェア (まとめ) ◆Mount Locker…

CISAと米国防総省サイバー国家任務部隊、SolarWinds関連マルウェアを分析

【ニュース】 ◆CISAと米国防総省サイバー国家任務部隊、SolarWinds関連マルウェアを分析 (マイナビニュース, 2021/04/18 15:08) https://news.mynavi.jp/article/20210418-1872743/ 【検索】google: SunShuttle google:news: SunShuttle google: SolarFlare …

Webシェル「Chopper」を利用した最近の標的型攻撃事例を解説

【ニュース】 ◆Webシェル「Chopper」を利用した最近の標的型攻撃事例を解説 (Trendmicro, 2021/03/11) https://blog.trendmicro.co.jp/archives/27354

New Linux Backdoor RedXOR Likely Operated by Chinese Nation-State Actor

【ブログ】 ◆New Linux Backdoor RedXOR Likely Operated by Chinese Nation-State Actor (Intezer, 2021/03/10) https://www.intezer.com/blog/malware-analysis/new-linux-backdoor-redxor-likely-operated-by-chinese-nation-state-actor/ 【関連まとめ記…

IronNetInjector: Turla’s New Malware Loading Tool

【ニュース】 ◆IronNetInjector: Turla’s New Malware Loading Tool (Paloalto, 2021/02/19) [IronNetInjector. Turlaの新しいマルウェアロードツール] https://unit42.paloaltonetworks.com/ironnetinjector/ 【関連まとめ記事】◆全体まとめ ◆攻撃組織 / Ac…

DreamBus Botnet - Technical Analysis

【ブログ】 ◆DreamBus Botnet - Technical Analysis (ZScaler, 2021/01/22) https://www.zscaler.com/blogs/security-research/dreambus-botnet-technical-analysis 【関連情報】 ◆DreamBus botnet targets enterprise apps running on Linux servers (ZDNet…

マルウェア解析プロフェッショナルのための資格 GREM合格体験記

【ブログ】 ◆マルウェア解析プロフェッショナルのための資格 GREM合格体験記 (松本 康平(NECセキュリティブログ), 2021/01/22) https://jpn.nec.com/cybersecurity/blog/210122/index.html 【関連まとめ記事】◆全体まとめ ◆情報源 (まとめ) ◆NECセキュリティ…

マルウェア分析新しい手順、課題、機会を伴う2028年に向けた市場の動き

【ニュース】 ◆マルウェア分析新しい手順、課題、機会を伴う2028年に向けた市場の動き (Securetpnews, 2021/01/15) https://securetpnews.info/2021/01/15/%E3%83%9E%E3%83%AB%E3%82%A6%E3%82%A7%E3%82%A2%E5%88%86%E6%9E%90%E6%96%B0%E3%81%97%E3%81%84%E6%…