2023年6月9日から6月16日までの脅威のまとめ

Cisco Talos Blog

blog.talosintelligence.com

2023年6月9日から6月16日までの脅威まとめ

By William Largent 2023年6月16日 金曜日 16:06

脅威まとめ

本日、Talosは6月9日から6月16日までに観察した最も一般的な脅威を公開しています。以前のまとめと同様に、この投稿は深く分析するものではありません。代わりに、この投稿では主要な行動特性、侵害の指標を強調し、お客様がこれらの脅威からどのように自動的に保護されているかについて説明します。 リマインダー:この投稿で提供される次の脅威に関する情報は完全ではなく、公開日現在の情報です。 また、IOCの検索は脅威ハンティングの一部に過ぎないことを念頭に置いてください。単一のIOCを見つけただけでは、必ずしも悪意があることを示すものではありません。次の脅威に対する検出とカバレッジは、追加の脅威や脆弱性の分析を待って更新される可能性があります。最新の情報については、お使いのFirepower Management Center、Snort.org、またはClamAV.netをご参照ください。 以下に記述する各脅威について、このブログ投稿では関連するファイルハッシュの25個と、各カテゴリーについて最大25個のIOCのみをリストします。全てのファイルハッシュと、この投稿からの他のすべてのIOCを含むJSONファイルはこちらで見つけることができます。また、各脅威に関連するMITRE ATT&CKテクニックの視覚的な描写も示されています。これらの画像では、テクニックの明度は、動的分析が実施されたすべての脅威ファイルでどれだけ一般的であるかを示しています。5つの明 distinctな色合いが使用され、最も暗い色はファイルがテクニックの振る舞いを示していないことを、最も明るい色は75%以上のファイルからテクニックの振る舞いが観察されたことを示しています。 このまとめで強調された最も一般的な脅威は以下の通りです:

脅威名 タイプ 説明

  • Win.Dropper.Zeus-10004541-0 Dropper Zeusはキーロギングやフォームグラビングなどの方法を使用して銀行の資格情報などの情報を盗むトロイの木馬です。
  • Win.Dropper.Kuluoz-10004513-0 Dropper Kuluoz(別名 "Asprox")は、偽のアンチウイルスソフトウェアなどの続くマルウェアをダウンロードして実行することも知られているモジュラー型のリモートアクセストロイの木馬です。Kuluozは出荷通知や航空券の予約確認を装ったスパムメールを介してよく配信されます。
  • Win.Packed.Redline-10004447-0 Packed Redline Stealerは、.NETで書かれた情報窃取ツールで、ハッキングフォーラムで販売されています。
  • Win.Packed.Nanocore-10004398-0 Packed Nanocoreは.NETのリモートアクセストロイの木馬です。そのソースコードは何度もリークされており、広く利用可能です。他のRATと同様、システムの完全な制御を可能にし、ビデオや音声の録画、パスワードの盗み出し、ファイルのダウンロード、キーストロークの録画などが可能です。
  • Win.Dropper.Ap0calypseRAT-10004380-0 Dropper Ap0calypseRATは、任意のコマンド実行、キーロギング、リモートデスクトップアクセス、ファイルのエクスフィルトレーションなど、多くの機能を持つリモートアクセストロイの木馬(RAT)です。このRATは地下のフォーラムで定期的に見つけられ、他のマルウェアファミリーによって追加のペイロードとして落とされることもあります。
  • Win.Packed.Upatre-10004369-0 Packed Upatreは、エクスプロイトキットやフィッシングキャンペーンによく利用される悪意のあるダウンローダーです。Upatreは、バンキングマルウェアなどの悪意のある実行ファイルをダウンロードして実行します。
  • Doc.Malware.Valyria-10004248-0 Malware Valyriaは、Emotetなどの他のマルウェアを配布するために使用される悪意のあるMicrosoft Word文書ファミリーです。
  • Win.Ransomware.Cerber-10004233-0 Ransomware Cerberは、文書、写真、データベース、その他の重要なファイルを暗号化するランサムウェアです。歴史的には、このマルウェアはファイルを暗号化したバージョンに置き換え、ファイル拡張子を ".cerber" に追加していましたが、最近のキャンペーンでは他のファイル拡張子が使用されています。
  • Win.Virus.Ramnit-10004200-0 Virus Ramnitは、感染したマシンのウェブブラウザのアクティビティを監視し、金融ウェブサイトからのログイン情報を収集するバンキングトロイの木馬です。また、ブラウザのクッキーを盗み出す能力があり、一般的なアンチウイルスソフトウェアから隠れる試みをします。