Weekly Analysis Articles (2020/05/17-23)
今週1週間で見かけたマルウェアなどの解析記事(11件)。
情報ソースを増やしたら大変になった。
Cyber And Ramen : Another Maldoc Analysis Article
MSBuildを利用した興味深い悪意のあるドキュメントの分析
Wordバックアップファイル(拡張子 .wbk)
CyberCheff を使って難読化解除
オレンジ見づらい
- Word バックアップファイル
- OLE
- XML
New activity of DoubleGuns‘ gang, control hundreds of thousands of bots via public cloud service
DoubleGuns グループによる新たな活動(shuangqiangキャンペーン)
Lassas.exe と svchost.exe へのインジェクション
- XOR
- ステガノ
- PE dll
- JavaScript
GhostDNS Source Code Leaked
ルーターエクスプロイトキットである GhostDNS のソースコードが漏えい
DNSハイジャックキャンペーンに使用されている
このソースコードの分析
SimpleDNS Plus
ZLoader Loads Again: New ZLoader Variant Returns
ZLoaderバンキングマルウェアの新バージョン
webinjectsを利用して、資格情報やその他の個人情報を盗むバンキングマルウェア
VNC クライアントを使用して、被害者のシステムに接続
- PE exe
- XOR
- BaseConfig (Zeusの伝統)
- DGA
Cyber-Criminal espionage Operation insists on Italian Manufacturing
イタリア企業を標的とした悪意のある活動。自動車生産チェーンの一部でもある。
Roma225, Hagga, Mana, YAKKA として分析されているグループが関与か
Dragon APTグループと関係がある可能性。
Aggahキャンペーン
〇がついてくる。インターネット老人会歓喜。
- マクロ
- Mshta (Signed Binary Proxy Execution)
- CMSTPバイパスエクスプロイト
- PowerShell
- C#
TrickBot BazarLoader In-Depth
「BazarLoader」と「BazarBackdoor」という適切な名前の2つの新しいTrickBotモジュール
かなりの量の難読化を伴う高度なモジュール
- C++
- 復号復号復号
Comprehensive Threat Intelligence: The wolf is back...
「WolfRAT」と呼ばれるDenDroidの修正バージョンがタイの Android ユーザを標的に
- Android
- タイ料理
Netwalker Fileless Ransomware Injected via Reflective Loading
Netwalker Fileless Ransomware
PowerShellで記述され、実際のランサムウェアバイナリをディスクに保存せずにメモリで直接実行
反射ダイナミックリンクライブラリ(DLL)インジェクション
The Evolution of APT15's Codebase 2020
APT15(Ke3changグループ)が使用したと思われるサンプル「Ketrum」の解析
複数のサンプルの相関分析
No “Game over” for the Winnti Group
APT グループ「Winnti Group」による新しい名前のモジュール式バックドア「PipeMon」
ビデオゲーム会社に対して使用されており、ゲームの実行ファイルをトロイの木馬化していた。