5月19日から5月26日までの脅威のまとめ

blog.talosintelligence.com

ウィリアム・ラージェントによって
2023年5月26日金曜日 17:05

脅威のまとめ

本日、Talosは、5月19日から5月26日までに観察された最も一般的な脅威についての一部を公開しています。以前のまとめと同様、この投稿は詳細な分析を意図したものではありません。代わりに、この投稿では、主要な行動特性、侵害の兆候を強調し、顧客がこれらの脅威からどのように自動的に保護されているかを議論することで、我々が観察した脅威を要約します。

以下に記載されている各脅威についての情報は、公開日の時点でのもので、一部のみを示していることを念頭に置いてください。さらに、IOCの検索は脅威ハンティングの一部でしかありません。単一のIOCを見つけたとしても、それが必ずしも悪意を示すものではありません。以下の脅威に対する検出とカバレッジは、追加の脅威または脆弱性分析により更新されることがあります。最新の情報については、Firepower Management Center、Snort.org、またはClamAV.netをご覧ください。

以下に記述される各脅威について、このブログ投稿では、関連するファイルハッシュの25つと、各カテゴリーについて最大25のIOCをリストしています。完全なファイルハッシュリスト、およびこの投稿からのその他のすべてのIOCを含むJSONファイルはこちらで見つけることができます。各脅威に関連するMITRE ATT&CK技術の視覚的表現も表示されます。これらの画像では、技術の明るさが、動的分析が行われたすべての脅威ファイルでのその技術の存在度を示しています。使われる色調は5つあり、最も暗い色はファイルに技術の挙動が見られなかったことを示し、最も明るい色はファイルの75％以上で技術の挙動が観察されたことを示します。

このまとめで強調された最も一般的な脅威は次のとおりです：

脅威の名前: Win.Ransomware.Djvu-10002408-1 タイプ: ランサムウェア 説明: Djvuランサムウェアは、Salsa20を用いて被害者のファイルを暗号化し、ペイロード、身代金の要求メモ、暗号化されたファイルに追加されるファイル拡張子を変更することで知られています。
脅威の名前: Win.Virus.Ramnit-10002385-0 タイプ: ウイルス 説明: Ramnitは、感染したマシン上のウェブブラウザの活動を監視し、金融ウェブサイトからのログイン情報を収集する銀行トロイの木馬です。
脅威の名前: Win.Trojan.Qakbot-10002083-1 タイプ: トロイの木馬 説明: Qakbot、別名Qbot、は少なくとも2008年から存在しています。 Qbotは主に銀行の資格情報などの機密情報を対象としていますが、FTPの資格情報を盗むこともでき、SMBを使用してネットワーク全体に広がります。
脅威の名前: Win.Dropper.Tofsee-10002081-0 タイプ: ドロッパー 説明: Tofseeは、スパムメッセージの送信、クリック詐欺の実行、仮想通貨のマイニングなど、さまざまな活動を行うためのモジュールを多数備えたマルチパーパスマルウェアです。
脅威の名前: Xls.Malware.Valyria-10002078-0 タイプ: マルウェア 説明: Valyriaは、Emotetなどの他のマルウェアを配布するために使用される悪意のあるMicrosoft Word文書のファミリーです。
脅威の名前: Win.Dropper.Zeus-10002075-0 タイプ: ドロッパー 説明: Zeusは、キーロギングやフォームの掴み取りなどの方法を使用して銀行の資格情報などの情報を盗むトロイの木馬です。
脅威の名前: Win.Packed.njRAT-10002074-1 タイプ: パック 説明: njRAT、別名Bladabindi、は攻撃者が感染したホスト上でコマンドを実行したり、キーストロークをログに記録したり、被害者のウェブカメラやマイクをリモートでオンにすることを可能にするリモートアクセストロイの木馬（RAT）です。
脅威の名前: Win.Ransomware.TeslaCrypt-10002553-0 タイプ: ランサムウェア 説明: TeslaCryptは、ユーザーのファイルを暗号化し、復号化サービスと引き換えにビットコインを要求することで知られるランサムウェアのファミリーです。