Emdiviを使う攻撃者の素性 | セキュリティ研究センターブログ世間で大きく報道されているマルウェアEmdivi(エムディヴィ)やCloudyOmega(クラウディオメガ)に関連する件において、被害組織に対する非難の報道が多い一方で、本当に非難するべき対象は攻撃者であり、攻撃者に関する情報がほとんど報道されていないように見受けられます。この状況を少しでも変えるべく、弊社が把握している情報を、差支えのない範囲で共有させて頂きます。 なお、この記事は、Emdiviと呼ばれるRAT(Remote Access Tool)に分類されるマルウェアに関する内容であり、今年1月の記事の続報であります。 弊社が今までに捕獲したEmdiviのマルウェア検体、およびそれらの接続先であるC2サーバのホスト名とIPアドレスの相関をまとめたものが図1の通りです。黄色がマルウェアのハッシュ(ドロッパおよびRAT本体)、青色がC2サーバのホスト名、緑色がC2サーバのIPアドレスを示
