TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 / 攻撃組織 に関する「個人」の調査・研究・参照ログ

*マルウェア解析

Play / PlayCrypt (まとめ)

incidents.hatenablog.com【目次】 概要 【辞書】 【Yara Rules】 【概要】 【最新情報】 記事 【ニュース】 【ブログ】 【検索】 関連情報 【関連まとめ記事】 概要 【辞書】 ◆PLAY (Malpedia) https://malpedia.caad.fkie.fraunhofer.de/details/win.play …

攻撃グループ「Earth Baxia」アジア太平洋地域に対するスピアフィッシング攻撃を展開、「GeoServer」の脆弱性も悪用

【図表】 攻撃の影響下にある国や地域 攻撃の概要 出典: https://www.trendmicro.com/ja_jp/research/24/j/earth-baxia-spear-phishing-and-geoserver-exploit.html 【ブログ】 ◆攻撃グループ「Earth Baxia」アジア太平洋地域に対するスピアフィッシング攻撃…

ランサムウエアの暗号化をひもとく

【図表】 共通鍵暗号方式と公開鍵暗号方式 出典: https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/111900071/091700059/ 【ニュース】 ◆ランサムウエアの暗号化をひもとく (日経XTECH, 2024/10/03) https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/111900071/0…

今なお攻撃を続けるマルウェアEbury:暗号通貨の盗難と金銭的利益のために40 万台の Linux サーバーを侵害

【図表】 EburyのオペレーターとESET社が運用するハニーポット間のやり取り。Eburyのオペレーターがこのシステムをハニーポットであることを見破り、フラグを立てていたことを示している Eburyのオペレーターが新しいサーバーを侵害するために使用しているさ…

中国語圏の攻撃グループが展開するバックドア型マルウェア「Noodle RAT」を分析

【図表】 Noodle RATに関する報告やインシデントの履歴 攻撃グループとWin.NOODLERATの関係 Win.NOODLERATの初期化処理 通信パケットの模擬的な構造体 出典: https://www.trendmicro.com/ja_jp/research/24/g/noodle-rat-reviewing-the-new-backdoor-used-by…

マルウェア解析 (まとめ)

【マルウェア解析されたランサムウェア】 ◆Play / PlayCrypt (まとめ) https://malware-log.hatenablog.com/entry/Play 【ニュース】■2023年 ◆USBデバイス介して感染するマルウェア拡大、ロシア支援の攻撃グループが配布 (マイナビニュース, 2023/11/21 18:5…

ANY.RUN、64bit版Windows 10の仮想マシンを全ユーザーに提供 マルウェア分析をより強化

【ニュース】 ◆ANY.RUN、64bit版Windows 10の仮想マシンを全ユーザーに提供 マルウェア分析をより強化 (ITmedia, 2024/07/04 07:30) https://www.itmedia.co.jp/enterprise/articles/2407/04/news063.html

USBデバイス介して感染するマルウェア拡大、ロシア支援の攻撃グループが配布

【図表】 LitterDrifterの攻撃手順 (Check Point) 出典: https://news.mynavi.jp/techplus/article/20231121-2824134/ 【ニュース】 ◆USBデバイス介して感染するマルウェア拡大、ロシア支援の攻撃グループが配布 (マイナビニュース, 2023/11/21 18:50) https…

Unleashing the Viper : A Technical Analysis of WhiteSnake Stealer

【訳】Viperの解放:Whitesnake Stealerのテクニカル分析 【図表】 出典: https://russianpanda.com/WhiteSnake-Stealer-Malware-Analysis 【要約】 WhiteSnake Stealerは、2022年2月にハッキングフォーラムで初登場したマルウェアです。多くのブラウザやメー…

Technical Analysis of Trigona Ransomware

【訳】Trigona ランサムウェアの技術的分析 【ブログ】 ◆Technical Analysis of Trigona Ransomware (ZScaler, 2023/04/14) [Trigona ランサムウェアの技術的分析] https://www.zscaler.com/blogs/security-research/technical-analysis-trigona-ransomware …

Uncovering HinataBot: A Deep Dive into a Go-Based Threat

【訳】HinataBotの発見:Goベースの脅威の深層に迫る 【概要】 Security Intelligence Response Team (SIRT) のアカマイの研究者は、Go ベースの DDoS に特化した新しいボットネットを発見しました。このマルウェアは、マルウェア作者が人気アニメシリーズ「…

Earth Kitsune Delivers New WhiskerSpy Backdoor via Watering Hole Attack

【訳】Earth Kitsune、Watering Hole攻撃により新たなWhiskerSpyバックドアを提供 【ブログ】 ◆Earth Kitsune Delivers New WhiskerSpy Backdoor via Watering Hole Attack (Trendmicro, 2023/02/17) [Earth Kitsune、Watering Hole攻撃により新たなWhiskerS…

Invitation to Secret Event: Uncovering campaigns targeting East Asia by Earth Yako

【訳】シークレットイベントにご招待。Earth Yakoが東アジアを狙うキャンペーンを暴く 【講演資料】 ◆Invitation to Secret Event: Uncovering campaigns targeting East Asia by Earth Yako (JSAC, 2023/01/26) [シークレットイベントにご招待。Earth Yako…

ランサムウェア「Royal」が再登場し、コールバック型フィッシング攻撃を実施

【図表】 ランサムウェア「Royal」の攻撃フロー ランサムウェア「Royal」による攻撃の対象地域(国別) 出典: https://www.trendmicro.com/ja_jp/research/23/a/conti-team-one-splinter-group-resurfaces-as-royal-ransomware-wit.html 【ブログ】 ◆ランサ…

LockBit 3.0 ‘Black’ attacks and leaks reveal wormable capabilities and tooling

【訳】LockBit 3.0の「Black」攻撃とリークにより、ワーム可能な機能とツールが判明 【図表】 出典: 【ブログ】 ◆LockBit 3.0 ‘Black’ attacks and leaks reveal wormable capabilities and tooling (Sophos, 2022/11/30) [LockBit 3.0の「Black」攻撃とリー…

TommyLeaks and SchoolBoys: Two sides of the same ransomware gang

【図表】 TommyLeaksの身代金請求書 (出典 BleepingComputer) SchoolBoys Ransomware Gang の身代金要求書 (出典 BleepingComputer) SchoolBoy's Ransomware Gangの交渉サイト (出典 BleepingComputer.com) TommyLeaksの交渉サイト (出典 BleepingComputer.c…

詳細解析によって明らかになった「Monti」ランサムウェアの興味深い事実:現実世界におけるContiのドッペルゲンガー

【図表】 図 1 - 「MONTI 株」のランサムウェアインシデントの概要 図 2 - 2022 年 6 月 30 日のツイート、「MONTI 株」のランサムウェアについて 図 3 - リークした「CobaltStrike MANUALS_V2 Active Directory」ドキュメントに含まれる AnyDesk のインスト…

BianLian Ransomware Encrypts Files in the Blink of an Eye

【ブログ】 ◆BianLian Ransomware Encrypts Files in the Blink of an Eye (BlackBerry, 2022/10/13) https://blogs.blackberry.com/en/2022/10/bianlian-ransomware-encrypts-files-in-the-blink-of-an-eye 【関連まとめ記事】◆全体まとめ ◆マルウェア / Ma…

Dark Web Profile: Play Ransomware

【ブログ】 ◆Dark Web Profile: Play Ransomware (SOCRadar, 2022/10/10) [ダークウェブのプロファイル: Play Ransomware] https://socradar.io/dark-web-profile-play-ransomware/

Malware Analysis Report (AR22-277A) MAR-10365227-1.v1 CovalentStealer

【公開情報】 ◆MAR-10365227-1.v1 CovalentStealer (CISA, 2022/10/04) https://www.cisa.gov/uscert/ncas/analysis-reports/ar22-277a

新たなランサムウェア「Play」:既存の攻撃手口に類似

【図表】 出典: https://www.trendmicro.com/ja_jp/research/22/i/play-ransomware-s-attack-playbook-unmasks-it-as-another-hive-aff.html 【ブログ】 ◆新たなランサムウェア「Play」:既存の攻撃手口に類似 (Trendmicro, 2022/10/03) 「Play」は2022年6月…

LockBit ransomware builder leaked online by “angry developer”

【図表】 3xp0rtのツイート LockBit 3.0のビルダーファイル 出典 BleepingComputer LockBit 3.0の設定ファイル 出典 BleepingComputer LockBit 3.0 builderによって作成されたランサムウェアの実行ファイル 出典 BleepingComputer ロックビット3.0暗号化復号…

Pro-Russian Group Targeting Ukraine Supporters with DDoS Attacks

【図表】 Bobiks’ Targets 出典: https://decoded.avast.io/martinchlumecky/bobik/ 【公開情報】 ◆Pro-Russian Group Targeting Ukraine Supporters with DDoS Attacks (Decoded.avast.io, 2022/09/06) https://decoded.avast.io/martinchlumecky/bobik/ 【…

PLAY Ransomware analysis

【ブログ】 ◆PLAY Ransomware analysis (ChuongDong, 2022/09/03) https://chuongdong.com/reverse%20engineering/2022/09/03/PLAYRansomware/ 【関連まとめ記事】◆全体まとめ ◆マルウェア / Malware (まとめ) ◆ランサムウェア (まとめ) ◆Play / PlayCrypt (…

THREAT ANALYSIS REPORT: LockBit 2.0 - All Paths Lead to Ransom

【訳】脅威分析レポート:LockBit 2.0 - すべての道は身代金につながる 【ブログ】 ◆THREAT ANALYSIS REPORT: LockBit 2.0 - All Paths Lead to Ransom (Cyberreason, 2022/07/07) [脅威分析レポート:LockBit 2.0 - すべての道は身代金につながる] https://…

「CFF」でマルウエア解析を妨害

【ニュース】 ◆「CFF」でマルウエア解析を妨害 (日経XTECH, 2022/07/05) https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/111900071/062000033/ 【関連まとめ記事】◆全体まとめ ◆偽装手法 (まとめ) ◆制御フロー平坦化 / Control Flow Flattening / CFF (まと…

HUI Loaderの分析

【ブログ】 ◆HUI Loaderの分析 (JPCERT/CC, 2022/05/16) https://blogs.jpcert.or.jp/ja/2022/05/HUILoader.html 【関連まとめ記事】◆全体まとめ ◆マルウェア / Malware (まとめ) ◆ダウンローダ (まとめ) ◆HUI Loader (まとめ) https://malware-log.hatenabl…

Industroyer2: Industroyer reloaded

【図表】 出典: https://www.welivesecurity.com/2022/04/12/industroyer2-industroyer-reloaded/ 【公開情報】 ◆Industroyer2: Industroyer reloaded (WeLiveSecurity, 2022/04/12 11:28) [インダストロイヤー2 インダストロイヤーのリロード] This ICS-cap…

ウクライナの政府機関、非営利団体、IT 組織の機能停止を目的とするワイパー型マルウェア WhisperGate

【公開情報】 ◆ウクライナの政府機関、非営利団体、IT 組織の機能停止を目的とするワイパー型マルウェア WhisperGate (BlackBerry, 2022/04/03) https://blogs.blackberry.com/ja/jp/2022/03/threat-thursday-whispergate-wiper 【関連まとめ記事】◆全体まと…

AcidRain | A Modem Wiper Rains Down on Europe

【公開情報】 ◆AcidRain | A Modem Wiper Rains Down on Europe (SentinelLabs, 2022/03/31) https://www.sentinelone.com/labs/acidrain-a-modem-wiper-rains-down-on-europe/ 【関連まとめ記事】◆全体まとめ ◆マルウェア / Malware (まとめ) ◆破壊型マルウ…