【要点】
◎Rig EK と Ramnit を落とす。フォローアップマルウェアは AZORult
【図表】
【ブログ】
◆Seamless Malvertising Campaign Leads to Rig EK and Drops Ramnit. Follow-up Malware is AZORult Stealer. (Malware Breakdown, 2017/09/19)
[シームレスなマルバタイジングキャンペーンにより、Rig EKとDrops Ramnitにつながる。後続のマルウェアはAZORult Stealer]
https://malwarebreakdown.com/2017/09/19/seamless-malvertising-campaign-leads-to-rig-ek-and-drops-ramnit-follow-up-malware-is-azorult-stealer/
【関連まとめ記事】
◆全体まとめ
◆マルウェア / Malware (まとめ)
◆Bot (まとめ)
◆Ramnit (まとめ)
https://malware-log.hatenablog.com/entry/Ramnit
【インディケータ情報】
■ハッシュ情報(Sha256) - RegEK -
8129e51cb9b7f47da14bd86d4b3afa049f7d5a4ac716cdecfaaf81a48837b7a2
dc65c7783f02d45b61cceff22e4f5e50ab313f8ea0e94e0cfffc7d1213ba2149
■ハッシュ情報(Sha256) - その他 -
dbdb563a0590c2674e23d8e1d88174bc1fb3dfed6fcda0e6a07edafb050fdab2
43ae3b68b5201d3ffddc37918f24a380a1cdf0fd5a2c06c947367b56069b0ed3
db89f34921e507b8fc5ba24d2e252a33eea5a10717768817b80fb98637c55a6e
■IPアドレス
52.53.65.99 | hanually-curcial.com – GET /voluum/ |
---|---|
31.31.199.191 | GET /vnc-seller and POST /vnc-seller/ |
52.52.18.181 | paremated-conproxy.com – GET /voluum/ |
52.9.71.23 | 15cen.redirectvoluum.com – GET /redirect |
194.58.46.242 | GET /lol1.php |
188.225.85.142 | RIG EK |
194.87.99.160 | (wcbjmxitybhaxdhxxob.com) – TCP port 443 |
46.173.218.123 | (vwfkrykqcrfupdkfphj.com) – TCP port 443 |
87.106.190.153 | (pqvicocbv.com) – TCP port 443 |
37.60.177.251 | (elptuelny.com) – TCP port 443 |
181.114.240.10 | sb572f00a.fastvps-server.com – GET /gg.exe |
5.101.122.193 | POST /au/gate.php |