TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究・参照ログ

*マルウェア解析

軍事関連文書を装った Office ドキュメントで標的を誘い込み Cobalt Strike を仕掛ける IndigoDrop が拡散中

【ニュース】 ◆軍事関連文書を装った Office ドキュメントで標的を誘い込み Cobalt Strike を仕掛ける IndigoDrop が拡散中 (Talos(CISCO), 2020/07/03) https://gblogs.cisco.com/jp/2020/07/talos-indigodrop-maldocs-cobalt-strike/ 【関連情報】 ◆Indigo…

EKANS Ransomware Targeting OT ICS Systems

【ブログ】 ◆EKANS Ransomware Targeting OT ICS Systems (Fortinet, 2020/07/01) https://www.fortinet.com/blog/threat-research/ekans-ransomware-targeting-ot-ics-systems 【関連情報】 ◆産業制御システム狙う「EKANS」ランサムウェア、FortiGuardが手…

QAKBOTが活発化、VBS利用による拡散を確認

【ニュース】 ◆QAKBOTが活発化、VBS利用による拡散を確認 (Trendmicro, 2020/06/25) https://blog.trendmicro.co.jp/archives/25325

Defending Exchange servers under attack

【図表】 出典: https://www.microsoft.com/security/blog/2020/06/24/defending-exchange-servers-under-attack/ 【ニュース】 ◆Defending Exchange servers under attack (Microsoft, 2020/06/24) https://www.microsoft.com/security/blog/2020/06/24/def…

AcidBox: ロシアの組織を標的にTurlaグループのエクスプロイトを流用するまれなマルウェア

【ブログ】 ◆AcidBox: ロシアの組織を標的にTurlaグループのエクスプロイトを流用するまれなマルウェア (Paloalto, 2020/06/22 21:55) https://unit42.paloaltonetworks.jp/acidbox-rare-malware/ 【関連情報】 ◆AcidBox: Rare Malware Repurposing Turla Gr…

IndigoDrop spreads via military-themed lures to deliver Cobalt Strike

【ニュース】 ◆IndigoDrop spreads via military-themed lures to deliver Cobalt Strike (Talos(CISCO), 2020/06/22) https://blog.talosintelligence.com/2020/06/indigodrop-maldocs-cobalt-strike.html 【関連情報】 ◆軍事関連文書を装った Office ドキ…

Analysis of LODEINFO Maldoc

【図表】 出典: https://www.cyberandramen.net/2020/06/analysis-of-lodeinfo-maldoc.html 【概要】 項目 内容 File name 外務省補助金で謳われていた.doc MD5 bca533b3336240bc5cc68117408debdf SHA256 73470ea496126133fd025cfa9b3599bea9550abe2c8d065de…

AcidBox: Rare Malware Repurposing Turla Group Exploit Targeted Russian Organizations

【ブログ】 ◆AcidBox: Rare Malware Repurposing Turla Group Exploit Targeted Russian Organizations (Paloalto, 2020/06/17) https://unit42.paloaltonetworks.com/acidbox-rare-malware/ 【関連情報】 ◆AcidBox: ロシアの組織を標的にTurlaグループのエ…

SNAKE(EKANS)ランサムウェアの内部構造を紐解く

【ブログ】 ◆SNAKE(EKANS)ランサムウェアの内部構造を紐解く (MBSD, 2020/06/16) https://www.mbsd.jp/blog/20200616.html

VALAKマルウェア:見た目以上の威力

【ニュース】 ◆VALAKマルウェア:見た目以上の威力 (Cyberreason, 2020/06/11) https://www.cybereason.co.jp/blog/cyberattack/4747/ 【関連まとめ記事】◆全体まとめ ◆マルウェア / Malware (まとめ) ◆バンキングマルウェア (まとめ) ◆Valak (まとめ) https…

Valak Malware and the Connection to Gozi Loader ConfCrew

【ブログ】 ◆Valak Malware and the Connection to Gozi Loader ConfCrew (SentinelLabs, 2020/06/09) Valak uses a multi-stage, script-based malware that hijacks email replies and embeds malicious URLs or attachments to infect devices with filel…

Fake ransomware decryptor double-encrypts desperate victims' files

【ニュース】 ◆Fake ransomware decryptor double-encrypts desperate victims' files (BleepingComputer, 2020/06/06 16:05) https://www.bleepingcomputer.com/news/security/fake-ransomware-decryptor-double-encrypts-desperate-victims-files/

Threat Spotlight: Tycoon Ransomware Targets Education and Software Sectors

【ブログ】 ◆Threat Spotlight: Tycoon Ransomware Targets Education and Software Sectors (INSIDE BLACKBERRY BLOG, 2020/06/04) https://blogs.blackberry.com/en/2020/06/threat-spotlight-tycoon-ransomware-targets-education-and-software-sectors …

Cycldek: Bridging the (air) gap

【図表】 出典: https://securelist.com/cycldek-bridging-the-air-gap/97157/ 【ニュース】 ◆Cycldek: Bridging the (air) gap (SecureList(Kaspersky), 2020/06/03 10:00) https://securelist.com/cycldek-bridging-the-air-gap/97157/

「Wolf」の再来

【ニュース】 ◆「Wolf」の再来 (CISCO Japan Blog, 2020/06/01) https://gblogs.cisco.com/jp/2020/06/talos-the-wolf-is-back/

注目の脅威:難読化と検出回避を複雑に組み合わせた情報窃取型マルウェア Astaroth

【ブログ】 ◆注目の脅威:難読化と検出回避を複雑に組み合わせた情報窃取型マルウェア Astaroth (CISCO Japan Blog, 2020/05/28) https://gblogs.cisco.com/jp/2020/05/talos-astaroth-analysis/ 【IoT情報】 ◆Astaroth (2020/05/28) https://ioc.hatenablog…

VALAK: MORE THAN MEETS THE EYE

【ブログ】 ◆VALAK: MORE THAN MEETS THE EYE (CyberReason, 2020/05/28) https://www.cybereason.com/blog/valak-more-than-meets-the-eye 【関連まとめ記事】◆全体まとめ ◆マルウェア / Malware (まとめ) ◆バンキングマルウェア (まとめ) ◆Valak (まとめ) …

No “Game over” for the Winnti Group

【ブログ】 ◆No “Game over” for the Winnti Group (Welivesecurity(ESET), 2020/05/21 11:30) The notorious APT group continues to play the video game industry with yet another backdoor https://www.welivesecurity.com/2020/05/21/no-game-over-win…

Netwalker Ransomware – From Static Reverse Engineering to Automatic Extraction

【ブログ】 ◆Netwalker Ransomware – From Static Reverse Engineering to Automatic Extraction (Zero2Automarted Blag, 2020/05/19) https://zero2auto.com/2020/05/19/netwalker-re/

Malware Analysis: Snake Ransomware

【ブログ】 ◆Malware Analysis: Snake Ransomware (Medium.com, 2020/05/15) https://medium.com/@nishanmaharjan17/malware-analysis-snake-ransomware-a0e66f487017 【関連まとめ記事】◆全体まとめ ◆マルウェア / Malware (まとめ) ◆ランサムウェア (まと…

MicrosoftとIntelがマルウェアを画像化する技術を開発。約99%の精度で感染ファイルを検出

【ニュース】 ◆MicrosoftとIntelがマルウェアを画像化する技術を開発。約99%の精度で感染ファイルを検出 (Engadget, 2020/05/12) https://japanese.engadget.com/jp-2020-05-12-microsoft-intel-99.html

Hiding in plain sight: PhantomLance walks into a market

【ブログ】 ◆Hiding in plain sight: PhantomLance walks into a market (Kaspersky, 2020/04/28 15:00) https://securelist.com/apt-phantomlance/96772/

GrandstreamおよびDrayTekデバイスのエクスプロイトで拡大する新たなHoaxcalls DDoSボットネット

【ブログ】 ◆GrandstreamおよびDrayTekデバイスのエクスプロイトで拡大する新たなHoaxcalls DDoSボットネット (Paloalto, 2020/04/05 23:54) https://unit42.paloaltonetworks.jp/new-hoaxcalls-ddos-botnet/

New Agent Tesla Variant Spreading by Phishing

【図表】 出典: https://www.fortinet.com/blog/threat-research/new-agent-tesla-variant-spreading-by-phishing.html 【ブログ】 ◆New Agent Tesla Variant Spreading by Phishing (Fortinet, 2020/04/01) https://www.fortinet.com/blog/threat-research/…

COVID-19 Themes Are Being Utilized by Threat Actors of Varying Sophistication

【ニュース】 ◆COVID-19 Themes Are Being Utilized by Threat Actors of Varying Sophistication (Anomali, 2020/03/23) https://www.anomali.com/blog/covid-19-themes-are-being-utilized-by-threat-actors-of-varying-sophistication

ICS関連プロセスを停止できるランサムウェア EKANS

【概要】■Mutex まず被害者のマシンの「EKANS」Mutex値をチェックする ■システム停止機能 ランサムウェアはシステムを再起動またはシャットダウンしたり、リモート・アクセスのチャネルを閉じたりするようにプログラムされていない ■感染拡大機能 感染拡大機…

Human-operated ransomware attacks: A preventable disaster

【ブログ】 ◆Human-operated ransomware attacks: A preventable disaster (Microsoft, 2020/03/05) https://www.microsoft.com/security/blog/2020/03/05/human-operated-ransomware-attacks-a-preventable-disaster/ 【関連まとめ記事】◆全体まとめ ◆攻撃…

Emotet Evolves With New Wi-Fi Spreader

【図表】 出典: https://www.binarydefense.com/emotet-evolves-with-new-wi-fi-spreader/ 【ブログ】 ◆Emotet Evolves With New Wi-Fi Spreader (Binary Defense, 2020/02/07) https://www.binarydefense.com/emotet-evolves-with-new-wi-fi-spreader/ 【Io…

Shlayer Trojan attacks one in ten macOS users

【図表】 TOP 10 threats for macOS by share of users attacked, as detected by Kaspersky security solutions for macOS, January– November 2019 Shlayer malware detections by Kaspersky security solutions for macOS, February 2018 – October 2019 …

Evil Hidden in Shellcode: The Evolution of Malware DBGPRINT

【資料】 ◆Evil Hidden in Shellcode: The Evolution of Malware DBGPRINT (TeamT5, 2020/01/17) https://jsac.jpcert.or.jp/archive/2020/pdf/JSAC2020_2_ycy-aragorn_jp.pdf https://jsac.jpcert.or.jp/archive/2020/pdf/JSAC2020_2_ycy-aragorn_en.pdf 【…


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2020