Emdiviを使う攻撃者の素性 | セキュリティ研究センターブログ
世間で大きく報道されているマルウェアEmdivi(エムディヴィ)やCloudyOmega(クラウディオメガ)に関連する件において、被害組織に対する非難の報道が多い一方で、本当に非難するべき対象は攻撃者であり、攻撃者に関する情報がほとんど報道されていないように見受けられます。この状況を少しでも変えるべく、弊社が把握している情報を、差支えのない範囲で共有させて頂きます。 なお、この記事は、Emdiviと呼ばれるRAT(Remote Access Tool)に分類されるマルウェアに関する内容であり、今年1月の記事の続報であります。 弊社が今までに捕獲したEmdiviのマルウェア検体、およびそれらの接続先であるC2サーバのホスト名とIPアドレスの相関をまとめたものが図1の通りです。黄色がマルウェアのハッシュ(ドロッパおよびRAT本体)、青色がC2サーバのホスト名、緑色がC2サーバのIPアドレスを示
News from the Lab Archive : January 2004 to September 2015
Malware authors certainly do not take a breather when it comes to inventing new tricks for detecting sandbox, a very useful system to automatically analyze millions of samples nowadays. Recently, Seculert unveiled an unprecedented sandbox detection method that was employed by the Dyre/Dyreza malware. We have seen similar anti-sandbox tricks used by the notorious Tinba banking trojan and would like
Home - Broadcom Community - Discussion Forums, Technical Docs, Ideas and Blogs
VMware Explore Registration Is Open Map your next move at the industry’s essential cloud event in Las Vegas August 26 – 29. Register Now Welcome VMware Members We are pleased to announce that VMware Communities, Carbon Black Community, Pivotal Community, and the Developer Sample Exchange will go live on Monday, 5/6. Stay tuned for updates. Read More Welcome VMware Members We are pleased to annou
ランサムウェア「REVETON」、従来の手法に新たな感染経路を追加して感染拡大 |
トレンドマイクロは、2014年12月、ファイルを暗号化して身代金を要求する「Cryptoランサムウェア」の亜種が欧州を中心とした地域で急増したことを本ブログで報告しました。こうした被害は、特にスペインやフランス、トルコ、英国で確認されました。本稿では、「REVETON」として知られる別の「身代金要求型不正プログラム(ランサムウェア)」の亜種について取り上げます。このランサムウェアは、新しい感染経路で PC に侵入することが米国で確認されています。新しい感染経路とは、従来の EXEファイルでなく、DLLファイルを利用する方法です。 ■「REVETON」の復活 弊社は、2014年10月から 11月の最終週にかけて、「REVETON」の亜種、特に「TROJ_REVETON.SM4」と「TROJ_REVETON.SM6.」の顕著な増加を確認しました。 弊社は、今年、モバイル端末を狙うランサムウェア
マイクロアド社の広告配信ネットワークを通じて偽Flash Player更新サイトへ誘導された件をまとめてみた。 - piyolog
2014年6月19日未明よりニコニコ動画や2ちゃんねるまとめサイトで確認されていた偽Flash Playerの更新サイトへ誘導される事象に関する情報をまとめます。尚、この問題が確認された当初Yahoo!JapanのYahoo!プロモーション広告が原因であると騒がれていましたが、MicroAd社の広告配信サービスを経由して米国から行われた広告配信が原因であったことが同社の発表から明らかになりました。 (1) 公式発表 MicroAd 悪意のあるサイトへ誘導される広告表示に関して 広告配信障害に関するプレスリリースの追記に関して ドワンゴ マイクロアド社広告経由のマルウェアについて (2) 被害状況 MicroAdの広告配信サービス「MicroAd AdFunnel」を使用しているWebサイトにおいて、Flash Playerの更新を偽装した悪性なソフトウェアの配布が行われた可能性がある。 M
Dyre IE Hooks
I recently wrapped up my analysis of Dyre. A PDF document can be found in my papers repo. Most of the document focuses on the different stages that Dyre interacts with the operating system. There are still some areas that I'd like to dig deeper into. For now it should be a good resource for anyone trying to identify a machine infected with Dyre or wanting to know more about the family of malware.
CIRCL » TR-24 Analysis - Destory RAT family
Overview CIRCL analyzed a malware sample which was only sporadically detected by just a handful antivirus engines, based on heuristic detection. CIRCL analyzed the entire command structure of the malware and was able to attribute this specific malware to the Destory RAT family. The malware is a feature-rich Remote Access Tool. The malware is used by a specific group of attackers specialized in ind
Windows PowerShell、次は標的型攻撃での利用を確認 |
Microsoft が開発したコマンドコンソールおよびスクリプト言語である「Windows PowerShell」のコマンドラインは、特にシステム管理のために設計された有益な Windows管理ツールです。PowerShell のコマンドラインは、コマンドラインの敏速性とスクリプト言語の順応性を兼ね備えています。これは、IT の専門家が Windows OS および Windowsアプリケーションの管理を自動化する際に役立ちます。 しかし、攻撃者たちはこの強力なスクリプト言語を再び悪用しています。トレンドマイクロは、2014年5月、今回の攻撃の発端として、「健康診断書」をかたる Eメールを確認しました。この Eメールは、米国に拠点を置く中国の新聞紙「Duo Wei Times」から送信されたように装っていました。この Eメールには圧縮ファイルが添付されており、不正なショートカットファイル(
エフセキュアブログ : 侵害されたサイトが偽のFlash PlayerをSkyDriveから持ってくる
侵害されたサイトが偽のFlash PlayerをSkyDriveから持ってくる 2014年01月16日04:40 ツイート fsecure_corporation ヘルシンキ発 by:SecResponse 当社のWorldMapには、ほぼ毎日同じようなものが表示される。今日は違う。 ある1つの感染が順位の最上位に上り詰め、我々の関心を大いに引いている。 この脅威の最近の履歴を確認すると、ここ数日間で感染数が増加してきていることが見て取れた。 そのためさらに掘り下げたが…、様々なWebサイト上に置かれていた多数のスクリプトが侵害されていることが分かるまでに長くはかからなかった。当社のテレメトリによれば、感染したWebサイトの実に約40%がドイツに設置されている。こうしたサイトでは、悪意あるコードがスクリプトに付け足されているが、以下のようにシンプルで短い。 あるいは次のようなcookie
Tsukuba: Banking Trojan Phishing in Japanese Waters
Named after Japan’s science city, Tsukuba is a recent financial malware discovery made by IBM Security Trusteer researchers. It unearths the malicious activity of a new banking Trojan in the global cybercrime arena that is highly focused and exclusive to Japanese financial institutions. Technically speaking, Tsukuba is no more sophisticated than run-of-the-mill proxy changers, which are typical at
Jeff Jones Security Blog - Site Home - TechNet Blogs
Products Product families Microsoft Defender Microsoft Entra Microsoft Intune Microsoft Priva Microsoft Purview Microsoft Sentinel Security AI Microsoft Copilot for Security Identity & access Microsoft Entra ID (Azure Active Directory) Microsoft Entra External ID Microsoft Entra ID Governance Microsoft Entra ID Protection Microsoft Entra Internet Access Microsoft Entra Private Access Microsoft Ent
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
サービス終了のお知らせ
サービス終了のお知らせ
The CozyDuke APT | Securelist
Qadars – a banking Trojan with the Netherlands in its sights | WeLiveSecurity
malware tracker blog: CVE-2013-5331 evaded AV by using obscure Flash compression ZWS
Naked Security – Sophos News
News from the Lab Archive : January 2004 to September 2015
NorseCorp - NorseCorp.com
Naked Security – Sophos News
