TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究・参照ログ

FlokibotがLockPoSを配布

【ブログ】

◆FlokibotがLockPoSを配布 (ARBOR, 2017/07/12)
http://jp.arbornetworks.com/lockpos-joins-flock/


【インディケータ情報】

■ハッシュ情報(MD5)

0ad35a566cfb60959576835ede75983b
4ada3fabb0e2cd0c90b16ec79e8147d8
20816af7c443180cccc6aa962151af67
23de0ef14737b0398af94d9d9ec5d5b7
2510953f05dcd2c758ad29160bbc3911
2bbd8aa8be75537bd60e68b124eafbff
33252b2c9e054617ecb7172837ce7775
37768af89b093b96ab7671456de894bc
3bf85b3bf7393ec22426919d341715e7
3ddf657800e60a57b884b87e1e8a987c
4725f4b5eec09bdb29433cbea6e360b3
52645badc17613f95a7962b07e2f063e
53203a1b05c0e039d8e690bad4808b97
5649e7a200df2fb85ad1fb5a723bef22
5d513187fc3357bc58d49c33f1c3e9c7
5d817395b4e6a828850e0010edeccc93
5e5289bb2b5bb89bddbc2ec0a38a6c9b
5fa30772b1f7a1f6dd33b84180f17add
624f84a9d8979789c630327a6b08c7c6
6255a9d71494381b8a4319fd139e9242
64a23908ade4bbf2a7c4aa31be3cff24
6db1f428becc2870517ae50fd892fc67
6dcc9ef9258dea343e1fdb1aaa5c7e56
70f6abfb433327a7b3c394246cc37ea2
7b7675705908d34432e2309880f5538e
7b8f8a999367f28b3ac42fc4d2b9439d
7d17de98ce24a0c3e156efcc0e1ca565
92316769af9e7cc204a81789c0dab9c0
93c07b57a51e3eee44134caa39057e8d
992e9518d69039c3ebae4191e1f8b8b6
99e9f5a4563f56e61f3806be39efce62
a11b982bde341475e28d3a2fa96f982a
a1bd290317b03ade7941dedd4a4e903b
a50e2d3419a9de9be87eb04f52f2245f
a53d38e93698ccf1843f15ebbd89a380
c149ef34c57e6f7e970063679de01342
c6faf2a51122cad086370674a3c9ad1a
cb8d57c149330e7bd1798d62e5da5404
cc38fd598cbef1a3816bb64f2990e9b6
cdb0762becd67b893d73cda594cd1c3e
d4c5384da41fd391d16eff60abc21405
d840ecdd9c8b32af83131dab66ec0f44
e54d28a24c976348c438f45281d68c54
e83d79fb671cf2335025022bebbb0bdd
ebbf3f2385157240e8a45a9dd00ddaef
f33808ea5100648108c7d0d6a0d5eb61
f5f698c6c0660d14ce19fd36a4e94b9c
f79035227cace85f01ee4ae63ad7c511
fdca6464b694739178b5a46d3d9b0f5c
(以上は ARBORの情報。 引用元は http://jp.arbornetworks.com/lockpos-joins-flock/)


■IPアドレス(C&Cサーバ, shhtunnel.at)

IPアドレス 日付
107.191.52.175 2016/08/04~2016/08/25
52.67.39.110 2016/10/11~2016/10/11
188.166.220.14 2016/10/13~2016/10/30
128.199.209.15 2016/10/31~2017/07/12

(以上は ARBORの情報。 引用元は http://jp.arbornetworks.com/lockpos-joins-flock/)


■IPアドレス(C&Cサーバ, p0o9i8u7y9.xyz)

IPアドレス 日付
107.191.52.175 2016/08/06~2016/08/31
128.199.205.239 2016/09/06~2016/09/18
52.67.156.144 2016/09/21~2016/09/28
213.252.246.108 2016/10/05~2016/11/14
162.243.164.43 2016/11/16~2017/01/04

(以上は ARBORの情報。 引用元は http://jp.arbornetworks.com/lockpos-joins-flock/)


■ドメイン

ドメイン マルウェアの活動
Springlove.at Kronosバンキング型トロイの木馬
Springlovee.at FlokiBotバージョン13
Sshtunnel.at Kronosバンキング型トロイの木馬、ランサムウェア活動も可能
Treasurehunter.at 2016年12月13日時点のFlokiBot v13およびRealPoSマルウェアの可能性
p0o9i8u7y9[.]xyz ランサムウェア

(以上は ARBORの情報。 引用元は http://jp.arbornetworks.com/lockpos-joins-flock/)

ドメイン 最終観察日
blackircd.net 2017年1月4日
treasurehunter.at 2016年12月20日
4haters.ga 2016年12月19日
uspal.cf 2016年12月19日
duparseled.com 2016年12月17日
web.netsworkupdates.com 2016年12月16日
slalsaxxa1ma.cma.beehoney.co.nz 2016年12月13日
adultgirlmail.com 2016年12月1日
wowsupplier.ga 2016年11月28日
extensivee.bid 2016年11月23日
feed.networksupdates.com 2016年11月23日
springlovee.at 2016年11月22日
vtraffic.su 2016年11月13日
shhtunnel.at 2016年11月12日

(以上は ARBORの情報。 引用元は http://jp.arbornetworks.com/lockpos-joins-flock/)


■マルウェア情報

MD5 0ad35a566cfb60959576835ede75983b
SHA1 2faa933c98cd21515b236d139476a6d09a3d624d
SHA256 063f14091c811feb0b99de21d52dc55ca2ccb0c387b515e7407ea09a4337ceef
SHA512
SSDEEP 1536:JWprm0f9sJFsEK9IHsWv1FYYMiWqz4im2L64AVT:cFmIgsEK9IFv1FYnDimE64AVT
authentihash aa9336ae94a7f8d8574e5f53ad71c139c377b9ca16138cca5f7bf0b8e3f3aa08
imphash 187c9e0169add26c3b200ad16ae1a00d
File Size 77824 bytes
File Type Win32 EXE
コンパイル日時 2017-06-24 16:27:36
Debug Path
File Name
File Path
生成ファイル
特徴
参考情報 https://www.virustotal.com/ja/file/063f14091c811feb0b99de21d52dc55ca2ccb0c387b515e7407ea09a4337ceef/analysis/

(以上は ARBORの情報。 引用元は http://jp.arbornetworks.com/lockpos-joins-flock/)


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2020