タグ検索の該当結果が少ないため、タイトル検索結果を表示しています。
2020年9月-11月にかけて、日本向けに返信を装ったなりすましメールにパスワード付きzipを添付する攻撃が複数観測されています。 しかし、これらの攻撃は実は2種類に分類できます。Emotetに感染する攻撃とIcedIDに感染する攻撃です。 それぞれ攻撃は手法や使用するマルウェアが違うため、攻撃の被害にあった場合には、それぞれに対応した対処を行う必要があります。 特に、セキュリティ関係者が深く調査せずにIcedIDに感染する攻撃をEmotetに感染する攻撃と誤認し、誤った対応をしていることが散見されるため、注意が必要であると考えています。 そのため、本記事では2つの攻撃の違いを認識できるように紹介します。 ※本記事は以下にスライド形式でも掲載しています。 返信型メールで感染する2つのマルウェア Emotet / IcedIDの区別 - Speaker Deck 目次 日本向けEmotetと
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます JPCERT コーディネーションセンター(JPCERT/CC)は11月6日、マルウェア「IcedID」の感染を狙う不正なメールが複数報告されているとして注意を呼びかけた。近年流行するマルウェア「Emotet」の感染を狙った攻撃方法に似ているという。 BlackBerryによると、IcedIDは2017年にIBMのセキュリティ研究者が発見したトロイの木馬型の不正プログラム。銀行やペイメントカード会社、モバイルサービスプロバイダー、オンライン小売り、給与計算ポータル、メールクライアントなど標的に、金融関連情報や資格情報などを窃取するという。 感染攻撃に使われる不正メールは10月下旬に流通し始め、11月3日頃から増加していると見られる。Twi
オンプレミスからクラウドへの移行をはじめ、ハイブリッドクラウド環境をシームレスに保護しながら、クラウドの利点を実現します。 詳しくはこちら
NRIセキュアのセキュリティ・オペレーション・センター(以下、当社SOC)では、10月下旬より「IcedID」と呼ばれるマルウェアの感染被害を検知しております。 本記事では、この「IcedID」の傾向と感染に至るまでのプロセスを解説します。 IcedIDとは?キャンペーン検知傾向について IcedIDはユーザの金融情報やホスト情報などを窃取したり、他のマルウェアをダウンロードする特徴があり、過去にやり取りのあったメール件名を引用し返信を装い、パスワード付きzipしたdocファイルを添付したメールを通じて感染します(図1、図2)。 図1 確認した不審メールの例 図2 添付されたパスワード付きzipファイルに含まれるdocファイルを開いた例 弊社SOCで観測するIcedIDへの感染を誘導する不審メール数は日によって変化があり(図3)、その変化にあわせて不審メールを実行した例やマルウェア感染に至
今年10月から「IcedID」と呼ばれるマルウェアが日本でも多く観測されています。本稿では、このマルウェアの特徴について解説します。 Emotetと似た振る舞いを行う「IcedID」 IcedID(別名:BokBot)は、発生当初は攻撃者が標的の銀行の信用情報を盗むことができるバンキング系トロイの木馬でしたが、時間の経過とともに、攻撃者はそれを使用して他のウイルスを配信したり、追加モジュールをダウンロードしたりするなど、Emotetと似た振る舞いを行うように進化を遂げてきています。 サイバー攻撃者たちはアンチウイルスソフトによる検出を避けるため、日本でも広く使用されているファイルの難読化(パスワードで保護された添付ファイルのEメールでの送信)を悪用した攻撃を今年6月中旬頃に仕掛けるようになりました。 当初はそうした攻撃は主に米国に向けられたものでしたが、今年10月末頃から11月中旬にかけて
内閣サイバーセキュリティセンターは、企業などに対して、年末年始の連休に入る前に社内のソフトウエアが最新の状態に保たれているかや外部から不正なアクセスが可能な状態になっていないかなど、改めて確認してほしいと注意を呼びかけています。 内閣サイバーセキュリティセンターによりますと、12月に入ってから、知り合いや取引先を装った巧妙な偽のメールで届けられ、感染すると連絡先などを盗み取って、さらに感染を広げる「Emotet」(えもてっと)や「IcedID」(あいすどあいでぃー)と呼ばれるコンピューターウイルスの被害の報告が増えています。 攻撃者は、こうしたコンピューターウイルスへの感染をきっかけに、より深刻なサイバー攻撃を仕掛けようとすることがあります。 センターは、テレワークの広がりで、比較的セキュリティーの弱い自宅などからのアクセスも増えていることからリスクが高まっているとしています。 企業などに
■Emotet&IcedID EmotetとIcedIDについての比較において最も注目すべき点は「Execution」の「Command and Scripting Interpreter」でないでしょうか。ここはEmotet及び、IcedIDをドロップする際に利用されるテクニックが挙げられているのですが共通するものが「Visual Basic」です。平たく言うと添付やリンクからエンドポイントに入り込んだOfficeファイル(WordやExcelなど)が開かれた際にマクロが動作し、感染プロセスが開始されることです。昨年は、Emotetの感染被害が多く、話題となりました。亜種も多数存在し、ウイルス対策ソフトではすべてを完全に検知できないという問題もあります。ウイルス対策ソフトやEDRを組み合わせて対応するということも良いのですが、検知するフェーズの前に根本的にブロックする。つまり、ユーザがフ
Emotet制圧も、新たな脅威「IcedID」が登場 添付ファイル経由のマルウェアに必要な対策とは 専門家に聞く
Emotet制圧も、新たな脅威「IcedID」が登場 添付ファイル経由のマルウェアに必要な対策とは 専門家に聞く(1/3 ページ) 2014年ごろから20年にかけて、メールの添付ファイルを通じて感染するマルウェア「Emotet」が世界中で猛威を振るった。日本もその例外ではなく、19年から20年に関西電力や京セラ、NTT西日本など多くの企業がEmotetの標的となり、個人情報流出の被害を受けた。 しかし、Emotetの脅威はほぼなくなったといっていい。ユーロポール(欧州刑事警察機構)がEmotetを拡散するサーバを突き止め、21年1月、米、英、独、仏、蘭、加、リトアニア、ウクライナの8カ国の治安当局との合同作戦「Operation LadyBird」(テントウムシ作戦)で実行犯を逮捕するとともに、ネットワークの情報基盤に侵入して制圧。内部からEmotetの拡散を停止させたからだ。 その後、ワ
Posted on 2020-12-23 | Shouta Ishihara, Takashi Matsumoto Emotet に便乗するマルウェアを確認 NICT では,2020年10月から Emotet への感染を狙ったメールが減少し,Emotet と入れ替わるように,10月中旬から Emotet に便乗したマルウェアの感染を狙ったメール(以降,Emotet 便乗型メール)を観測しました. Emotet 便乗型メールには,Zloader1,IcedID2 3,Agent Tesla4のダウンローダが添付されており,次の特徴がありました. Zloader,Agent Tesla: Emotet の外観が流用されていました.ただし,Emotetと違い doc ファイルではなく,Excel ファイルが使用されていました. IcedID: メール本文が前回の観測で見られた zip ファイル
著名なセキュリティーリサーチャーのpiyokango氏が注目のシステムトラブルをピックアップ。今週の注目ネタは……。 今回は3件のトピックを取り上げる。IcedIDマルウエアの調査リポートと、ソフトウエア開発会社SPECの採用情報流出、中小企業庁運営の「ミラサポplus」からの個人情報流出である。 マクロを組み込んだExcelファイルを感染活動に利用 米国のセキュリティー企業Uptycsは2021年4月7日、IcedID(アイスドアイディー)と呼ばれるマルウエアとその感染活動に関するリポートを公開した。感染活動は2021年に入って活発になっていて、3月末までの3カ月間で活動に使われた4000件を超える文書ファイルを確認し、1万5000件を超える不正な通信先を特定したという。 文書ファイルの93%は拡張子がxlsまたはxlsmのExcelファイルで、その大部分にマクロが組み込まれていた。Ic
Investigating a unique "form" of email delivery for IcedID malware | Microsoft Security Blog
Microsoft threat analysts have been tracking activity where contact forms published on websites are abused to deliver malicious links to enterprises using emails with fake legal threats. The emails instruct recipients to click a link to review supposed evidence behind their allegations, but are instead led to the download of IcedID, an info-stealing malware. Microsoft Defender for Office 365 detec
最終更新日:2021年1月24日 2020年10月下旬から、Shathak/TA551※に関連する攻撃が日本へ複数回行われていることを確認しています。 我々は、Shathakの攻撃状況を数か月にわたって調査しており、本キャンペーンにおいても情報共有できる点があるため、日本向けキャンペーンの特徴とマルウェア感染時の痕跡の確認方法をお伝えします。 ※Shathak/TA551は、本攻撃で使用される特徴的なマルウェア配信のためのネットワーク、または本攻撃を行う攻撃者グループのことを指します。 更新履歴 本稿の更新による変更点は次の通りです。 更新日 更新内容 2021年1月24日 実行痕跡の確認方法にIcedID Coreが登録するレジストリの情報を追記しました。 2020年11月24日 11月20日に発生した日本向けの攻撃について、主に文書ファイルの分析結果、実行痕跡の確認方法およびIoCを更
オンプレミスからクラウドへの移行をはじめ、ハイブリッドクラウド環境をシームレスに保護しながら、クラウドの利点を実現します。 詳しくはこちら
2020年9月-11月にかけて日本で観測された返信型メールにパスワード付きzipを添付する攻撃はEmotetまたはIcedIDに感染するものである。 この2つの攻撃について違いを紹介するための資料である。
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
返信型メールで感染する2つのマルウェア Emotet / IcedIDの区別 - bomb_log
国内でマルウェア「IcedID」が拡散か--Emotetに類似
「EMOTET」に続き「IcedID」の攻撃が本格化の兆し、パスワード付き圧縮ファイルに注意
【検証】IcedIDとは?検知傾向と感染に至るプロセスを徹底解説
パスワード付き圧縮ファイルという習慣を襲う、IcedIDによる攻撃
「Emotet」「IcedID」の被害増加 年末年始前に対策を | NHKニュース
EmotetとIcedIDとTrickbotをATT&CKを利用して比較したメモ
「IcedID」に感染させるパスワード付き圧縮ファイルに注意 「Re:」で始まる返信型ばらまきメールを確認
Emotetに便乗するマルウェア(Zloader,IcedID,Agent Tesla)
猛威を振るい壊滅したEmotetの「化身」か、マルウエアIcedIDの感染活動が盛んに
IcedIDの感染につながる日本向けキャンペーンの分析 - Mal-Eats
「EMOTET」後のメール脅威状況:「IcedID」および「BazarCall」が3月に急増
返信型メールで感染する2つのマルウェア Emotet / IcedIDの区別
www.tokyo-zoo.net
booksch.hatenablog.com
xtech.nikkei.com
www.thom.jp
zenn.dev/micin
kyukyunyorituryo.github.io