5月26日から6月2日までの脅威ラウンドアップ

Cisco Talos Blog

blog.talosintelligence.com

5月26日から6月2日までの脅威ラウンドアップ
William Largentによる
2023年6月2日 17:06
脅威ラウンドアップ

今日、Talosは、5月26日から6月2日までに観察した最も一般的な脅威の一部を公開します。

以前のラウンドアップと同様に、この記事は詳細な分析を目的としたものではありません。代わりに、この記事では、主要な行動特性、侵害の指標を強調し、お客様がこれらの脅威からどのように自動的に保護されるかについて説明することで、観察した脅威を要約します。 なお、この記事で次に述べる脅威の情報は網羅的なものではなく、公開日現在のものです。また、IOCの検索は脅威ハンティングの一部であることを念頭に置いてください。単一のIOCを見つけたからといって、必ずしも悪意があるわけではありません。以下の脅威に対する検出とカバレッジは、追加の脅威や脆弱性分析を待って更新されます。最新の情報については、Firepower Management Center、Snort.org、またはClamAV.netを参照してください。 以下に記述された各脅威について、このブログ記事では関連するファイルハッシュを25個と、各カテゴリーについて最大25個のIOCをリストしています。完全なファイルハッシュリストおよびこの投稿からのすべての他のIOCを含むJSONファイルはここで見つけることができます。各脅威に関連するMITRE ATT&CK技術の視覚的な表現も表示されます。これらのイメージでは、技術の明るさは動的分析が実施されたすべての脅威ファイルでのその存在度を示しています。使われるのは5つの明るさの違う色調で、一番暗い色はファイルに技術的な行動が見られなかったことを、一番明るい色はファイルの75%以上で技術的な行動が見られたことを示しています。 このラウンドアップで強調された最も一般的な脅威は次のとおりです:
脅威名 タイプ 説明

  • Win.Dropper.Nanocore-10003611-0 ドロッパー Nanocoreは.NETのリモートアクセス型トロイの木馬です。ソースコードが何度も漏洩し、広く利用可能になっています。他のRATと同様に、システムの完全な制御を可能にし、ビデオとオーディオの録音、パスワードの窃取、ファイルのダウンロード、キーストロークの記録などを行うことができます。
  • Win.Dropper.Glupteba-10003588-0 ドロッパー Gluptebaはマルチパーパスのトロイの木馬で、感染したマシンを使って暗号通貨のマイニングを行い、ユーザー名やパスワードなどの機密情報を盗み、EternalBlueなどのエクスプロイトを使ってネットワーク上に広がり、ルートキットコンポーネントを活用して隠れることが知られています。また、GluptebaはBitcoinブロックチェーンを使って設定情報を格納することが観察されています。
  • Win.Downloader.Upatre-10003575-0 ダウンローダ Upatreは、悪意のある添付ファイルやリンクを含むスパムメールを通じて配信されることがよくあるトロイの木馬です。他のマルウェアダウンローダーおよびインストーラーとしての役割が知られています。
  • Win.Dropper.DarkKomet-10003567-0 ドロッパー DarkKometは独立したソフトウェア開発者によってリリースされたフリーウェアのリモートアクセス型トロイの木馬です。キーロギング、ウェブカムアクセス、マイクアクセス、リモートデスクトップ、URLダウンロード、プログラム実行など、トロイの木馬が提供する機能を提供します。
  • Win.Dropper.Tofsee-10003414-0 ドロッパー Tofseeはマルチパーパスのマルウェアで、スパムメッセージの送信、クリックフラウドの実行、暗号通貨のマイニングなど、様々な活動を行うための複数のモジュールを持っています。感染したシステムはTofseeスパムボットネットの一部となり、大量のスパムメッセージを送信して追加のシステムを感染させ、オペレーターの制御下にあるボットネットの全体的なサイズを増加させるために使用されます。
  • Win.Dropper.Bifrost-10003394-0 ドロッパー Bifrostは10以上のバリアントを持つバックドアです。Bifrostは、典型的なサーバー、サーバービルダー、クライアントバックドアプログラムの設定を使用して、クライアントを使用するリモートの攻撃者による侵害されたマシンでの任意のコードの実行を可能にします。Bifrostにはファイルマネージャー、スクリーンキャプチャユーティリティ、キーロギング、ビデオ録画、マイクとカメラの監視、プロセスマネージャーなど、標準的なRAT機能が含まれています。Bifrostは" Bif1234 "または" Tr0gBot "という名前のミューテックスを使用することで、成功のサインとしています。
  • Win.Virus.Expiro-10003154-0 ウィルス Expiroは、ファイル感染者および情報窃取者として知られており、アンチデバッグとアンチ分析の技巧で分析を困難にします。