TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究・参照ログ

Windows の正規機能 WMIC および CertUtil を利用しブラジルのユーザを狙うマルウェアを確認

【図表】

f:id:security-lab:20190816075630p:plain
感染の流れ
出典: https://blog.trendmicro.co.jp/archives/19759


【概要】

■使用ツール

  • WMIC
  • CertUtil


【ブログ】

◆Windows の正規機能 WMIC および CertUtil を利用しブラジルのユーザを狙うマルウェアを確認 (Trendmicro, 2018/10/25)
https://blog.trendmicro.co.jp/archives/19759

【インディケータ情報】

■ハッシュ情報(Sha256)

695e03c97eaed0303c9527e579e69b1ba280c448476edcf97d7a289b439fa39a
d60db526c41356b43d4b916c6913f137d2f2eeb8b1d7472b5c24e3af311d486b
6852e458e3837c5b2e1354ed9bc5205878c0e94f1211da075dcc6305845fbc33

(以上は Trendmicroの情報: 引用元は https://blog.trendmicro.co.jp/archives/19759 )


■URL - C&Cサーバ -

hxxp://ewyytrtw4646934[.]eririxab[.]com:25041/03/marxvxinhhmg[.]gif[.]zip?17563326
hxxp://ewyytrtw4646934[.]eririxab[.]com:25041/03/marxvxinhhmgx[.]gif[.]zip?658140462
hxxp://ewyytrtw4646934[.]eririxab.com:25041/03/r1[.]log
hxxp://ewyytrtw4646934[.]eririxab.com:25041/03/marxvxinhhm98[.]dll[.]zip?52828157
hxxp://ewyytrtw4646934[.]eririxab.com:25041/03/marxvxinhhmhh[.]dll[.]zip?974411041
hxxp://ewyytrtw4646934[.]eririxab.com:25041/03/marxvxinhhmhh[.]dll[.]zip?895017548
hxxp://exxxwrtw6115614[.]kloudghtlp[.]com:25056/09/v131[.]xsl?4463977

(以上は Trendmicroの情報: 引用元は https://blog.trendmicro.co.jp/archives/19759 )


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2020