Threat Roundup for June 2 to June 9

Cisco Talos Blog

blog.talosintelligence.com

2023年6月9日(金) 17:06 脅威のまとめ 本日、Talosは、6月2日から6月9日までに観察した最も普及している脅威の一部を公開しています。以前のまとめと同様に、この投稿は詳細な分析を意図したものではありません。代わりに、この投稿では、主要な行動特性、妥協の指標を強調し、お客様がこれらの脅威からどのように自動的に保護されているかを説明します。 ご注意ください、この投稿で提供される次の脅威の情報は非包括的であり、公開日現在の情報です。さらに、IOCの検索は脅威ハンティングの一部でしかありません。一つのIOCを見つけただけでは、必ずしも悪意があることを示すものではありません。以下の脅威に対する検出とカバレッジは、追加の脅威または脆弱性分析を待って更新される可能性があります。最新の情報については、Firepower Management Center、Snort.org、またはClamAV.netを参照してください。 以下に説明する各脅威について、このブログ投稿では関連するファイルハッシュのうち25個と、各カテゴリーについて最大25個のIOCを列挙しています。この投稿からの他のすべてのIOCとともに、完全なファイルハッシュのリストを含むJSONファイルはここにあります。各脅威に関連するMITRE ATT&CK技術の視覚的な描写も示されています。これらの画像では、技術の明るさは、動的分析が実施されたすべての脅威ファイルでどれだけ普及しているかを示します。使用される5つの明 distinct色調があり、最も暗い色調はファイルが技術行動を示さなかったことを示し、最も明るい色調は75%以上のファイルから技術行動が観察されたことを示します。 このまとめで強調されている最も普及している脅威は次のとおりです:

脅威の名前  種類  説明

  • Win.Virus.Ramnit-10003937-0  ウイルス  Ramnitは、感染したマシン上のウェブブラウザ活動を監視し、金融ウェブサイトからログイン情報を収集する銀行トロイの木馬です。ブラウザのクッキーを盗むことができ、人気のあるアンチウイルスソフトウェアから隠れることを試みます。
  • Win.Packed.Zusy-10003901-0  パック済み  Zusy(別名:TinyBankerまたはTinba)は、中間者攻撃を使用して銀行情報を盗むトロイの木馬です。実行すると、それ自体を「explorer.exe」や「winver.exe」などの正当なWindowsプロセスに注入します。ユーザーが銀行ウェブサイトにアクセスすると、ユーザーが個人情報を提出するように欺くフォームを表示します。
  • Win.Malware.Zbot-10003849-0  マルウェア  Zbot(別名:Zeus)は、キーロギングやフォーム掴みといった方法を使用して銀行認証情報などの情報を盗むトロイの木馬です。
  • Win.Packed.Upatre-10003658-0  パック済み  Upatreは、エクスプロイトキットやフィッシングキャンペーンによく使用される悪意のあるダウンローダーです。Upatreは、銀行マルウェアなどの悪意のある実行可能ファイルをダウンロードして実行します。
  • Doc.Downloader.Valyria-10003621-0  ダウンローダー  これらのValyriaのバリアントは、他のマルウェアを配布するために使用されるVBAマクロが埋め込まれた悪意のあるMicrosoft Wordドキュメントです。
  • Win.Ransomware.Ryuk-10003991-0  ランサムウェア  Ryukは、大規模な組織をターゲットにし、暗号化されたファイルの復旧に対して比較的大きな身代金の支払いを要求するランサムウェアで知られています。感染は、Emotetを最初に配布する悪意のある添付ファイルを含む電子メールに関連付けられています。Emotetは、Ryukなどのモジュラーペイロードを配布するために使用されます。Ryukは、ユーザーのファイルをAES-256 + RSA2048暗号化アルゴリズムを使用して暗号化します。
  • Win.Packed.LokiBot-10003974-0  パック済み  Lokibotは、感染したデバイスに保存された機密情報を吸い上げるために設計された情報窃取マルウェアです。これはモジュラー式のもので、複数の人気のあるアプリケーションから機密情報を盗む能力をサポートしています。通常は、スパムメールに添付された悪意のあるドキュメントを介して配布されます。
  • Win.Dropper.Nanocore-10003611-0  ドロッパー  Nanocoreは、.NETリモートアクセストロイの木馬です。そのソースコードは何度もリークされており、広く利用可能です。他のRATと同様に、システムの完全な制御を可能にし、ビデオや音声の録音、パスワードの盗難、ファイルのダウンロード、キーストロークの録音などを行います。
  • Win.Dropper.Glupteba-10003588-0  ドロッパー  Gluptebaは、感染したマシンを使用して暗号通貨を採掘し、ユーザ名とパスワードなどの機密情報を盗むマルチパーパスのトロイの木馬です。ネットワーク上でEternalBlueなどのエクスプロイトを使用して広がり、ルートキットコンポーネントを活用して隠れます。Gluptebaは、Bitcoinブロックチェーンを使用して設定情報を保存しているとも観察されています。