タグ

ブックマーク / blogs.jpcert.or.jp (5)

  • Cobalt Strike Beaconを検知するVolatility Plugin(2018-07-31) - JPCERT/CC Eyes

    JPCERT/CCでは、2017年7月頃から国内の組織に対して、Cobalt Strikeを悪用した攻撃が行われていることを確認しています。Cobalt Strikeは、標的型攻撃を模倣することができる商用製品[1]であり、インシデント対応演習などで利用されますが、攻撃者に悪用されるケースもあります。Cobalt Strikeを悪用する攻撃グループや、Cobalt Strikeの詳細については、株式会社ラック[2]やFireEye[3]、Cybereason[4]が公開している情報に詳しく記載されていますので、そちらをご覧ください。 Cobalt Strikeは、ダウンローダーとなるWord文書などを用いて、体となるペイロード(Cobalt Strike Beacon)をダウンロードさせることで、メモリ上で実行されます。 Cobalt Strike Beaconはディスク上には保存されな

    Cobalt Strike Beaconを検知するVolatility Plugin(2018-07-31) - JPCERT/CC Eyes

  • プラグインをダウンロードして実行するマルウエアTSCookie (2018-03-01) | JPCERTコーディネーションセンター(JPCERT/CC)

    2018年1月17日頃、文部科学省に偽装した不正なメールが送信されていたことが一部で確認されています[1]。このメールにはURLが記載されており、アクセスするとマルウエアTSCookieがダウンロードされました。(トレンドマイクロ社はこのマルウエアをPLEADと呼んでいます[2]。PLEADは、攻撃キャンペーン名として使われることもあるため、ここではこのマルウエアをTSCookieと記載します。)TSCookieは、2015年頃から確認されており、BlackTech[3]と呼ばれる攻撃グループとの関連が疑われています。JPCERT/CCではこのマルウエアを使用した攻撃グループが、過去に日の組織をターゲットに標的型攻撃を行っていることを確認しています。 今回は、TSCookieの詳細について紹介します。 TSCookieの概要 図1は、TSCookie実行時の動作の流れを示しています。 図

    プラグインをダウンロードして実行するマルウエアTSCookie (2018-03-01) | JPCERTコーディネーションセンター(JPCERT/CC)

  • 攻撃グループBlackTechが使うマルウエアPLEADダウンローダ (2018-05-28) - JPCERTコーディネーションセンター(JPCERT/CC)

    前回の分析センターだより では攻撃グループBlackTech[1]が使用していると考えられるマルウエアTSCookie について紹介しました。この攻撃グループはその他にもPLEADと呼ばれるマルウエアを使用することが分かっています。(PLEADは複数のマルウエア種別名(TSCookieを含む)とそのマルウエアを使用した攻撃キャンペーン名として使用されています[2]。ここではPLEADをTSCookieとは異なるマルウエア種別名として使用します。)PLEADにはRATタイプと、ダウンローダタイプ(以降、PLEADダウンローダと記載する)が存在します。RATタイプは複数のコマンドを持ち、命令を受信することによって動作します。(詳しくは、LAC社が公開しているブログ[3]の「攻撃手口3」をご覧ください。)PLEADダウンローダは、TSCookieと同じくモジュールをダウンロードし、メモリ上で実行

    攻撃グループBlackTechが使うマルウエアPLEADダウンローダ (2018-05-28) - JPCERTコーディネーションセンター(JPCERT/CC)

  • LinuxとWindowsを狙うマルウエアWellMess(2018-06-28) | JPCERTコーディネーションセンター(JPCERT/CC)

    マルウエアの中にはマルチプラットフォームで動作することを意図して作成されたものが存在し、その際に使用されるプログラミング言語として代表的なものがJavaです。たとえば、以前分析センターだよりで紹介したAdwindはJavaで作成されたマルウエアで、Windows以外のOSでも動作します。ご存知の通り、Java以外にもマルチプラットフォームで動作することを想定したプログラミング言語は存在し、Golangもその1つです。Javaで作成されたマルウエアに比べると少ないですが、Golangで作成されたものも確認されています。たとえば、Linuxに感染するマルウエアとして有名なMiraiもコントローラーにはGolangが使用されています。 今回は、JPCERT/CC で確認したマルウエアWellMessについて紹介します。WellMessは、Golangで作成され、クロスコンパイルによってLinux

    LinuxとWindowsを狙うマルウエアWellMess(2018-06-28) | JPCERTコーディネーションセンター(JPCERT/CC)

  • ショートカットファイルから感染するマルウエアAsruex(2016-06-23) - JPCERT/CC Eyes

    JPCERT/CCでは、2015年10月頃から、不正なショートカットファイルが添付されたメールが宛先の組織を絞り込んで送信されていることを確認しています。このショートカットファイルを開くと、Asruexと呼ばれるマルウエアに感染します。Asruexは、リモートから操作する機能を持ったマルウエアで、メールを送信している攻撃者はこのマルウエアを利用してターゲットにした組織に侵入を試みていると考えられます。なお、このマルウエアは「DarkHotel」と呼ばれる攻撃グループに関連しているとマイクロソフトがブログ[1]に記載しています。(マイクロソフトは、この攻撃グループを「Dubnium」と呼んでいます。) 今回は、Asruexの詳細について紹介します。 Asruexが感染するまでの流れ 図1は、ショートカットファイルを開いてからAsruexに感染するまでの流れを示しています。 図 1:ショートカ

    ショートカットファイルから感染するマルウエアAsruex(2016-06-23) - JPCERT/CC Eyes
    you0708
    you0708 2017/01/04
    『2015年10月頃から、不正なショートカットファイルが添付されたメールが宛先の組織を絞り込んで送信されていることを確認しています。』
    リンク
  • 1

お知らせ

もっと読む

公式Twitter

  • @HatenaBookmark

    リリース、障害情報などのサービスのお知らせ

  • @hatebu

    最新の人気エントリーの配信

はてなブックマーク

公式Twitter

はてなのサービス

  • App Storeからダウンロード
  • Google Playで手に入れよう
Copyright © 2005-2024 Hatena. All Rights Reserved.