di_blog_post

Deep Instinct prevents more advanced threats than any EPP or EDR in the world.

Deep Instinct Blog: Breaking News and Updates

Deep Instinct DSX について

ゼロデイ攻撃を予防 

リアルタイムで判定 

リアルタイムの分析と説明

TCOの削減

プライバシーとコンプライアンス

Deep Instinct DSX

CLOUD – クラウドストレージ

NAS – ローカルストレージ

APPLICATIONS  - アプリケーション

ENDPOINTS – エンドポイント

ユースケース

Deep Instinctについて

お客様の声

ニュース

お問い合わせ

サポート

会社概要

カタログ/資料

ブログ

動画

オンラインセミナー

リソース

資料請求/デモリクエスト

カスタマーポータル

インテグレーション/コンプライアンス

トレーニング

クイックリンク

Deep Instinctの革新的なディープラーニングを活用したソリューションが、未知の、かつてない脅威をどのようにして防止し、説明しているかをご覧ください。

選ばれる理由

ゼロデイ攻撃をシンプルに予防

ゼロデイ攻撃を予防

脅威を検知、スキャン判定は瞬きよりも速い20ミリ秒未満

リアルタイムで判定

ゼロデイ攻撃に関する実用的なAIによる分析レポートを即座に入手可能

効率的で高性能な脅威の予防により、サイバーセキュリティコストを削減

厳しいプライバシーと規制の要件を満たしながら、データ保護を強化

導入できる環境

ゼロデイ攻撃からマルチクラウドまたはハイブリッドインフラストラクチャを保護

高度なサイバー脅威から重要なNASシステムを保護

ゼロデイ攻撃からアプリケーションを防御

AI主導の脅威防止とリアルタイム対応でデバイスとエンドポイントを保護

カタログ・資料

脅威リサーチ

SecOpsの声

他社製品との連携・比較

Deep Instinctの高度な脅威対策で、Microsoft Defender を補完し、脅威が環境に侵入する前に阻止

+ Microsoft Defender

Deep InstinctとTaniumは、リスクを低減し生産性を向上させる予防ファーストに考えたエンドポイントセキュリティを提供

+ Tanium

EDRのみでは不十分 - ディープラーニングを用いた高度なリアルタイム脅威防御で既存のサイバーセキュリティ・ツールを強化し、深層防御を実現

従来型AV製品と補完

従来型AV製品を、サイバーセキュリティのために構築した予防ファースト型のディープラーニングベースの保護に置き換え

従来型AV製品からの置き換え

より高速で正確 – Deep Instinctは、Trellixよりも優れたデータ保護機能とNASストレージ保護機能を提供

TRELLIXからの置き換え

リーダーシップメンバー

ボードメンバー

採用

国内販売代理店

Partners

content_block

Perspective & Findings

ブログを読む

Emotet再来! 2023年最初のマルスパムの波

emotet-returns-2023-blog.jpg

Listing preview

Perspective & Findings

Emotet再来! 2023年最初のマルスパムの波

image_media_card

2022年ガートナー®マジック・クアドラントのEPP部門でDeep Instinctが唯一の新規ベンダーに選ばれた理由

死から蘇った、2022年のエモテット

The Re-Emergence of Emotet

Emotetの休暇は終了：悪い奴は休まない

Deep Instinct のトレンド

carousel_cards

listing_preview

Blog JP

BlackSuitランサムウェアを深く掘り下げ、その機能や感染手法、および現在の標的などを探ります。Deep InstinctがどのようにBlackSuitを検出し、データが利用されるのを防ぐことができるかをご覧ください。

BlackSuit_900x400_2.png

2024年6月8日、株式会社KADOKAWAは、運営する複数のウェブサイトに影響を及ぼすサービス障害を検知しました。この障害は他の業務にも広がり、後にBlackSuit <a href="https://www.bleepingcomputer.com/news/security/blacksuit-ransomware-gang-claims-attack-on-kadokawa-corporation/" target="_blank">ランサムウェアグループによるサイバー攻撃</a> であることが判明しました。BlackSuitはこの攻撃を行ったと主張し、身代金の要求が満たされない限り、7月1日に盗んだ情報を公開すると脅迫していました。BlackSuitと呼ばれるランサムウェアのコードは、悪名高いContiグループの後継とされるRoyalランサムウェアと類似しています。これは、潜在的なつながりや開発者の関連を示唆しています。この関連性については、このテーマについて発表した過去のレポートで詳しく説明しています： 私たちは、 <a href="https://info.deepinstinct.com/ja-jp/conti-leaks-cyber-threat-reports" target="_blank">Conti</a> とその派生である <a href="https://www.deepinstinct.com/ja/blog/black-basta-ransomware-threat-emergence" target="_blank">BlackBasta</a>の両方を過去調査しています。<figure style="text-align: center"><div data-img-caption-container="true" style="display: inline-block; text-align: center;"><img src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/blt360d20b0f113f264/6696f82b06a674d134c5a4ee/fig1-blacksuit-victims.png" width="auto" height="auto" style="text-align: center;height: auto;" /><figcaption style="text-align: center;" style="text-align: center;">図1：BlackSuitランサムウェアの被害企業数</figcaption></div></figure>当社の分析によると、Deep Instinctの8ヶ月前のBrainにより、新しい Blacksuit Windows Ransomware の検体を防ぐことがわかりました。しかし、業界全体では、新しいBlackSuitの検体は初期の検体よりも検知率がはるかに低くなっています。上のグラフで示されているように、この低い検知率は、BlackSuitランサムウェアの被害企業数の急激な増加からの分かります。BlackSuitが使用している検体は、従来型のセキュリティ製品をすり抜けシステムにうまく侵入できるように設計されています。それでは、詳しく見てみましょう。<h5>最新検体の解析</h5>BlackSuitコードの新しい検体は、主にアンチ解析のために文字列やインポートされたDLLをエンコードするような複雑なレイヤーを追加しています。それらはまた、自動エミュレーションをバイパスするために必須のID引数を追加し、新しい検体をより検知しずらくしています。<figure style="text-align: center"><div data-img-caption-container="true" style="display: inline-block; text-align: center;"><img src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/blt2084d114ec3f8209/6696f82b77a7809e9044a25f/fig2-strings-encryption.png" style="text-align: center;" /><figcaption style="text-align: center;" style="text-align: center;">図2：文字列の復号化</figcaption></div></figure>例えば、VirusTotalをみてみると、多くのセキュリティ製品で古いBlacksuit検体の検知率は高いのですが、ここ数カ月の新しい検体については検知率が低くなっています。<figure style="text-align: center"><div data-img-caption-container="true" style="display: inline-block; text-align: center;"><img src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/blt5bed08ab64e581fe/6696f82cd0c0ef789ec561b6/fig3-VT-detection-rate.png" style="text-align: center;" /><figcaption style="text-align: center;" style="text-align: center;">図3：新しいBlacksuit検体のアップロード時におけるVirusTotalにおける検知数</figcaption></div></figure>これらの新しい手法の中でもよりインパクトのある変更の1つは、攻撃者が偽のウォーターマーク（電子透かし）を含め、ランサムウェアを既知の無料アンチウイルスであるQihoo 360の正当なファイルの一部として成りすましている点です。このマスキングにより、検出は劇的に難しくなり、他社製品による検知率は大きく低下しました。ランサムウェアは正規のアプリケーションの奥深くに隠されており、ランサムウェアとして動作させるには、コマンドラインでトークンを使用して実行するだけでよいのです。<figure style="text-align: center"><div data-img-caption-container="true" style="display: inline-block; text-align: center;"><img src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/blteae79a1729b07bfd/6696f82c77a780582d44a263/fig4-embedded-legitimate-urls.png" style="text-align: center;" /><figcaption style="text-align: center;" style="text-align: center;">図4：埋め込まれたURL</figcaption></div></figure><figure style="text-align: center"><div data-img-caption-container="true" style="display: inline-block; text-align: center;"><img src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/blt4e96f1780d57f20a/6696f82c6c1019fd6f39795e/fig5-fake-metadata.png" style="text-align: center;" /><figcaption style="text-align: center;" style="text-align: center;">図5：偽のメタデータ</figcaption></div></figure>ファイルは署名されておらず、これは本物のQihooアプリケーションではないことを示しています。機能は他の新しい検体と同じで、使用されているミューテックスも同じです。&nbsp;<figure style="text-align: center"><div data-img-caption-container="true" style="display: inline-block; text-align: center;"><img src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/blt3971600a651708d4/6696f82c79f2042205390cf0/fig6-VT-detectio-rate-stealthy-sample.png" style="text-align: center;" /><figcaption style="text-align: center;" style="text-align: center;">図6：VirusTotalの検知率</figcaption></div></figure>

免責事項： Qihoo 360はBlackSuitとは一切関係ありません。マスキングは、Qihooのアイデンティティになりすました攻撃者の悪質な手口です。&nbsp;<h5>新しい挙動：</h5>Windowsの全サンプルに共通する動作に大きな変更はなく、主な機能は変わりませんが、いくつかのコマンドが変更されました：<table><tbody><tr><td>-p&nbsp;</td><td>このコマンドは、ランサムウェアがファイルの暗号化を試みるTarget Directoryを指定する</td></tr><tr><td>killvm&nbsp;</td><td>仮想マシン (VM) を終了させ、解析対策とする</td></tr><tr><td>allfilesEncrypt&nbsp;</td><td>アクセス可能なすべてのファイルを暗号化し、被害を最大化する</td></tr><tr><td>networkEncrypt&nbsp;</td><td>接続されたネットワークドライブ上のファイルを暗号化し、攻撃の拡散を狙う</td></tr><tr><td>localEncrypt&nbsp;</td><td>暗号化をローカルマシンのストレージに制限し、即時の影響を制限する</td></tr><tr><td>percentEncrypt&nbsp;</td><td>指定した割合のファイルを部分的に暗号化する。攻撃中のパフォーマンス上の理由が考えられる</td></tr><tr><td>demonoff&nbsp;</td><td>ステルスモードで動作し、検出を困難にする</td></tr><tr><td>list {file}&nbsp;</td><td>暗号化プロセスに含まれる可能性のあるファイルのリスト</td></tr><tr><td>delete&nbsp;</td><td>ランサムウェアが実行後に自身を削除するため、捜査の妨げになる可能性がある&nbsp;</td></tr><tr><td>thrcount {number}&nbsp;</td><td>暗号化に使用するスレッド数を指定し、パフォーマンスやリソース使用量に影響を与える&nbsp;</td></tr><tr><td>skip {file}&nbsp;</td><td>暗号化から除外される可能性のあるファイルのリスト（シミュレート）&nbsp;</td></tr><tr><td>noprotect&nbsp;</td><td>Ransomwは自己保護メカニズムを無効にし、潜在的な終了を可能にする</td></tr></tbody></table>&nbsp;新しいサンプルは、解析を複雑にするためにエンコードされた文字列を持っており、-id &lt;32文字&gt;で供給される必要があります。また、以下のような追加命令も受け取ることができます：<table><tbody><tr><td>-ep&nbsp;</td><td>(以前のpercentEncrypt のように) 暗号化される各ファイルのパーセンテージ、部分暗号化の種類</td></tr><tr><td>-path&nbsp;</td><td>暗号化する特定のディレクトリ</td></tr><tr><td>-localonly&nbsp;</td><td>(以前のnetworkEncrypt の追加) ネットワークドライブを使用しない</td></tr><tr><td>-networkonly&nbsp;</td><td>(以前のnetworkEncrypt の追加) ローカルファイルを暗号化しない</td></tr><tr><td>-aavm&nbsp;</td><td>(以前のallfilesEncrypt と同様に) すべてを暗号化する</td></tr></tbody></table>&nbsp;BlackSuitランサムウェアは他にもいくつかの機能をもっている： &nbsp;<ul><li>秘密の暗号鍵を得るために非対称鍵交換を開始&nbsp;</li></ul><ul><li>簡単なローカル復元を無効にするため、シャドウコピーを削除：</li></ul><ul><ul><li>vssadmin delete shadow /all /quiet&nbsp;&nbsp;</li></ul></ul><ul><li>暗号化&nbsp;</li></ul><ul><ul><li>暗号化されたファイルに.blacksuitを付加</li></ul></ul><ul><li>スキップ:&nbsp;</li></ul><ul><ul><li>システムを破壊しないように、実行可能ファイル、ドライバ、インストーラのような様々なファイルタイプをスキップ</li></ul></ul><ul><ul><li>既に暗号化されたファイルと身代金のメモ&nbsp;</li></ul></ul><ul><li>最終的に、BlackSuit のランサムウェアはセーフモードを無効にし、システムをシャットダウンすることができます：&nbsp;</li></ul><ul><ul><li>bcdedit /deletevalue {current} セーフブート &nbsp;</li></ul></ul><ul><ul><li>shutdown /r /t 0&nbsp;</li></ul></ul><ul><li>身代金メモを残す： 通常、readme.blacksuit.txtという名前になります。身代金メモのシグネチャ検出を回避するため、コンテンツテキストは暗号化されています。このメモには、身代金交渉のために脅威行為者と連絡するためのリンクが含まれています。</li></ul><figure style="text-align: center"><div data-img-caption-container="true" style="display: inline-block; text-align: center;"><img asset_uid="blt771fca19a69b58a1" alt="fig7-ransom-note.png" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/blt771fca19a69b58a1/6696f82de13bf8b63bf84456/fig7-ransom-note.png" width="auto" height="128" style="text-align: center;height: 128px;" /><figcaption style="text-align: center;" style="text-align: center;">図7：BlackSuitのランサムノート</figcaption></div></figure><h5>感染経路</h5>一般的な最初の攻撃ベクトルは、RDP（おそらく盗まれた認証情報を使用）、VPNやファイアウォールの脆弱性、オフィスメールの添付ファイル（マクロ）、Torrentウェブサイト、悪意のある広告、およびさまざまなサードパーティーのトロイの木馬です。攻撃者は、CobaltStrike、WinRAR、PUTTY、Rclone、Advanced IP Scanner、Mimikatz、GMERなどのツールも使用しています。&nbsp;<h5>リーク・ニュースサイト</h5>このグループは、DarkWeb上でニュースとリークサイトを運営しています。このサイトには、攻撃者による既知の被害者がすべて含まれています。身代金支払いの期限が終了すると、流出したデータが公開されます。BlackSuitランサムウェアの被害者とされる人々のデータは、業種、従業員数、売上高、連絡先情報など、組織に関する重要な情報が記載されたプロフィールの下に公開されています。<figure><div data-img-caption-container="true" style="display: inline-block; text-align: center;"><img alt="Figure 8: An example of an alleged victim's profile on BlackSuit's leak site " src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/blt6451cbdff41a7b39/6697d044d0c0efef3ec5697e/fig9-darkweb-leak_redact_WB.png" width="auto" height="auto" /><figcaption style="text-align: center;" style="text-align: center;">図8：BlackSuitのリークサイト</figcaption></div></figure>BlackSuit ランサムウェアから身をを守るために、ぜひDeep Instinctに<a href="https://info.deepinstinct.com/ja-jp/request-a-demo" target="_blank">お問い合わせください</a>。

Deep Dive:  ステルス性の高い新型BlackSuitランサムウェアを暴く

DI_Uncorking Old Wine_TRT

古いワインのコルクを抜く： 2017年のゼロデイ＋『Unholy Alliance』のCobalt Strikeローダー

DI_Threat_Research_Team_Blog_930x400.png

DarkBeatC2: MuddyWater最新攻撃フレームワーク

blog-image-UAC-099-Ukraine.png

ウクライナを狙い続ける脅威者「UAC-0099」

blog-image-muddyc2go.jpg

MuddyC2Go - イスラエルで発見されたイランの APT MuddyWater が使用する最新の C2 フレームワーク

MuddyWaterがイスラエル・ハマス戦争中にイスラエルに対する新たなソーシャル・エンジニアリング・キャンペーンを展開しました。

blog-muddywater-en-able.jpg

<h5>要旨：</h5><ul><li>Deep Instinctの脅威リサーチチームは、「MuddyWater」グループによる新たなキャンペーンを確認しました</li><li>このキャンペーンはイスラエルの2つの標的を攻撃していることが確認されています</li><li>このキャンペーンでは、以前に報告された MuddyWater の活動からさらに新しい TTP が確認されています</li></ul><figure style = "margin: auto; text-align: center;width: auto;"><img alt="Figure 1: Campaign overview " src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/blt6790e59d9363b777/65426ffc4ed3b2001a90c710/fig1-muddywater-campaign-overview.png" height="auto" style="margin: auto;text-align: center;width: auto;" /><figcaption style = "text-align: center;" style="text-align: center;">図1：キャンペーン概要</figcaption></figure><h5>はじめに</h5><a href="https://www.deepinstinct.com/ja/blog/new-muddywater-threat-old-kitten-new-tricks" target="_blank">以前</a>の調査によると、MuddyWaterは2020年から、さまざまなファイル共有プラットフォームでホストされているアーカイブへのリンクを含むPDF、RTF、HTMLの添付ファイルやダイレクトリンクを含むスピアフィッシングメールを送信していました。これらのアーカイブには、様々な合法的リモート管理ツールのインストーラーが含まれていました。イスラエルとハマスの戦争中に新しいキャンペーンを開始する前、MuddyWaterは、「<a href="https://www.storyblok.com/" target="_blank">Storyblok</a>」と呼ばれる新しいファイル共有サービスを利用して、以前に知られていたリモート管理ツールを<a href="https://twitter.com/k3yp0d/status/1719269176101990574" target="_blank">再利用</a>しました。10月30日、Deep Instinctは、「Storyblok 」上でホストされている2つのアーカイブに、新しいマルチステージの感染ベクターが含まれていることを確認しました。このファイルには、隠しファイル、感染を開始するLNKファイル、およびリモート管理ツールである <a href="https://www.n-able.com/features/advanced-monitoring-agent" target="_blank">Advanced Monitoring Agent</a> を実行しながらおとり文書を解除するように設計された実行ファイルが含まれています。これは、MuddyWater がこのリモート管理ツールを使用することに関する最初の公のレポートになります。<h5>マルチステージ・ソーシャル・エンジニアリング・キャンペーン</h5>Deep Instinctは、この新しいキャンペーンの拡散メカニズムを確認することはできませんでしたが、これまでのキャンペーンと同様に、スピアフィッシングメールから始まる可能性が高いです電子メールのコンテンツは、被害者をおびき寄せ、"a.storyblok[.]com "でホストされているアーカイブをダウンロードさせます。ここでは、まず”defense-video.zip”ファイルを分析します。アーカイブが解凍されると”Attachments”という名前の別のフォルダのように見えるLNKショートカットを見つけるまで、いくつかのフォルダを移動する必要があります：<figure style = "margin: auto; text-align: center;width: auto;"><img alt="Figure 2: LNK Shortcut" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/blte46c4bf1b082e1d5/65427050a67ffd001b94e1c9/fig2-muddywater-hidden-lnk-shortcut.png" height="auto" style="margin: auto;text-align: center;width: auto;" /><figcaption style = "text-align: center;" style="text-align: center;">図2：LNKショートカット</figcaption></figure>しかし、アーカイブから抽出された追加の隠しフォルダとファイルがあります：<figure style = "margin: auto; text-align: center;width: auto;"><img alt="Figure 3: Hidden folders" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/bltad15ce5115cba266/654270aa2149b10407ad84f5/fig3-muddywater-hidden-folders.png" height="auto" style="margin: auto;text-align: center;width: auto;" /><figcaption style = "text-align: center;" style="text-align: center;">図3：隠しフォルダ</figcaption></figure>被害者がLNKファイルを開くと、感染動作が始まります。LNKファイルを調べると、隠しディレクトリの1つから実行ファイルが実行されることがわかります：<figure style = "margin: auto; text-align: center;width: auto;"><img alt="Figure 4: LNK command line arguments" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/blt64dfe55de3f736ef/654270df7265fb04074f77da/fig4-muddywater-lnk-command-line-arguments.png" height="auto" style="margin: auto;text-align: center;width: auto;" /><figcaption style = "text-align: center;" style="text-align: center;">図4：LNKコマンドライン引数</figcaption></figure>“Diagnostic.exe”というファイルは、我々が確認した両方のアーカイブで使用されています。このファイルの目的は、”Windows.Diagnostic.Document.EXE”という別の実行可能ファイルを実行することです。この実行可能ファイルは、”Windows.Diagnostic.Document”という隠しディレクトリの下の”.end”という名前の隠しディレクトリにあります。“Windows.Diagnostic.Document.EXE "という名前のファイルは、"Advanced Monitoring Agent "の電子署名された正規のインストーラーです。リモート管理ツールを実行するだけでなく、”Diagnostic.exe”は隠し”Document”フォルダの新しいWindowsエクスプローラウィンドウを開きます。これは、LNKファイルを開いた被害者を、それが本当にフォルダであるかのように騙すために行われます。おとり文書はイスラエル公務員委員会の公式メモで、ウェブサイトから誰でもダウンロードできるものです。このメモには、政府職員がソーシャル・ネットワーク上でイスラエル国家に反対する意見を表明した場合の対処法が書かれています：<figure style = "margin: auto; text-align: center;width: auto;"><img alt="Figure 5: Decoy document" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/bltc8cf7596101ee9db/654270fca184e7001b4f934b/fig5-muddywater-csc-decoy-document.png" height="auto" style="margin: auto;text-align: center;width: auto;" /><figcaption style = "text-align: center;" style="text-align: center;">図5：おとり文書</figcaption></figure><h5>結論</h5>MuddyWaterは、現在進行中のさまざまなキャンペーンでイスラエルを標的として攻撃し続けています。今回のキャンペーンでは、MuddyWaterが最新のTTPを採用していることが判明しました。これには、新しいパブリックホスティングサービス、感染を開始するためのLNKファイルの採用、新しいリモート管理ツールを実行しながらディレクトリのオープンを模倣する中間マルウェアの利用などが含まれています。被害者が感染した後、MuddyWaterのオペレーターは正規のリモート管理ツールを使って感染したホストに接続し、標的に対する偵察活動を開始します。偵察活動の段階が終わると、オペレーターはおそらくPowerShellコードを実行し、感染したホストをカスタムC2サーバーにビーコンさせます。MuddyWaterは過去に <a href="https://www.deepinstinct.com/ja/blog/phonyc2-revealing-a-new-malicious-command-control-framework-by-muddywater" target="_blank">PhonyC2</a> を使用していました。しかし、我々は最近、MuddyWaterがMuddyC2Goという新しいC2フレームワークを使用していることを確認しています。<h5>IOCs:</h5>ファイル<table style="width: 100%;"><thead class="bg-grey"><tr><th>MD5</th><th>概要</th></tr></thead><tbody><tr><td>37c3f5b3c814e2c014abc1210e8e69a2</td><td>Atera Agent を含むアーカイブ</td></tr><tr><td>16923d827a440161217fb66a04e8b40a</td><td>Atera Agent インストーラ</td></tr><tr><td>7568062ad4b22963f3930205d1a14df7</td><td>Atera Agent を含むアーカイブ</td></tr><tr><td>39eea24572c14910b67242a16e24b768</td><td>Atera Agent を含むアーカイブ</td></tr><tr><td>2e09e53135376258a03b7d793706b70f</td><td>Atera Agent インストーラ</td></tr><tr><td>1f0b9aed4b2c8d958a9b396852a62c9d</td><td> SimpleHelpを含むアーカイブ</td></tr><tr><td>065f0871b6025b8e61f35a188bca1d5c</td><td>SimpleHelp インストーラ</td></tr><tr><td>146cc3a1a68be349e70b79f9115c496b</td><td>defense-video.zip</td></tr><tr><td>dd247ccd7cc3a13e1c72bb01cf3a816d</td><td>Attachments.lnk</td></tr><tr><td>8d2199fa11c6a8d95c1c2b4add70373a</td><td>Diagnostic.exe</td></tr><tr><td>04afff1465a223a806774104b652a4f0</td><td>高度な監視エージェントインストーラ</td></tr><tr><td>6167f03c8b2734c20eb02d406d3ba651</td><td>おとり文書 (defense-video.zip)</td></tr><tr><td>e8f3ecc0456fcbbb029b1c27dc1faad0</td><td>attachments.zip</td></tr><tr><td>952cc4e278051e349e870aa80babc755</td><td>おとり文書 (attachments.zip)</td></tr></tbody></table><table style="width: 100%;"><thead class="bg-grey"><tr><th>IP or URL</th><th>概要</th></tr></thead><tbody><tr><td>ws.onehub[.]com/files/7f9dxtt6</td><td>Aterea AgentのアーカイブへのURL</td></tr><tr><td>a.storyblok[.]com/f/253959/x/b92ea48421/form.zip</td><td>Aterea AgentのアーカイブへのURL</td></tr><tr><td>a.storyblok[.]com/f/255988/x/5e0186f61d/questionnaire.zip</td><td>Aterea AgentのアーカイブへのURL</td></tr><tr><td>a.storyblok[.]com/f/259791/x/94f59e378f/questionnaire.zip</td><td>URL to Archive of SimpleHelpのアーカイブへのURL</td></tr><tr><td>146.70.149[.]61</td><td>MuddyWaterのSimpleHelpサーバ</td></tr><tr><td>146.70.124[.]102</td><td><a href="https://twitter.com/MichalKoczwara/status/1719294254206288001" target="_blank">MuddyWaterのSimpleHelpサーバの疑い</a></td></tr><tr><td>37.120.237[.]204</td><td>MuddyWaterのSimpleHelpサーバの疑い</td></tr><tr><td>37.120.237[.]248</td><td>MuddyWaterのSimpleHelpサーバの疑い</td></tr><tr><td>a.storyblok[.]com/f/259837/x/21e6a04837/defense-video.zip</td><td>高度な監視エージェントのアーカイブへのURL</td></tr><tr><td>a.storyblok[.]com/f/259791/x/91e2f5fa2f/attachments.zip</td><td>高度なモニタリングエージェントのアーカイブへのURL</td></tr></tbody></table>MuddyWaterに関するその他のIOCはGitHubページにあります： <a href="https://github.com/deepinstinct/Israel-Cyber-Warfare-Threat-Actors" target="_blank">https://github.com/deepinstinct/Israel-Cyber-Warfare-Threat-Actors</a>

MuddyWater eN-Able 新しいTTPによるスピアフィッシング

blog-phonyc2-muddywater.jpg

PhonyC2： MuddyWaterによる新たな悪意あるコマンド＆コントロール・フレームワークを暴く

pindos-js-dropper-blog.jpg

Deep Instinctの脅威リサーチラボは最近、BumblebeeとIcedIDを配信するJavaScriptベースのドロッパーの新種を発見しました。このドロッパーにはロシア語のコメントが含まれており、ロシアにおける現在（および過去）の <a href="https://en.wikipedia.org/wiki/Anti-American_sentiment_in_Russia#Pindos" target="_blank">反米コメント</a>の可能性がある独自のユーザーエージェント文字列 "PindOS" を採用しています。Bumblebeeは2022年3月に初めて発見されたマルウェアローダーです。<a href="https://info.deepinstinct.com/ja-jp/conti-leaks-cyber-threat-reports" target="_blank">Conti グループ</a> に関連しており、BazarLoaderの代替として使用されていました。ランサムウェアを含む他の複数のタイプのマルウェアの主要なベクターとして動作します。IcedIDは、金融情報を盗むために設計されたモジュラー型バンキングマルウェアです。少なくとも2017年以降出回っており、最近ではマルウェアの配信に重点を移していることが <a href="https://www.bleepingcomputer.com/news/security/new-icedid-variants-shift-from-bank-fraud-to-malware-delivery/" target="_blank">確認されています</a>。<h5>Bumblebeeのジレンマ - PowerShellかJavaScriptか？</h5><figure style="margin-top: auto;margin-right: auto;margin-bottom: auto;margin-left: auto;text-align: center;width: auto;"><img asset_uid="bltac10f75989680347" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/bltac10f75989680347/6493347d48e15a005746c1ff/fig00-bumble_meme.jpg" style="text-align: center;"/></figure>Bumblebeeの主な手口は、直近の<a href="https://www.secureworks.com/blog/bumblebee-malware-distributed-via-trojanized-installer-downloads" target="_blank">大規模キャンペーン</a>を含め、非常に特徴的な難読化（「elemXXX」）を施したPowerShellベースのファーストステージを含みます。これは、埋め込まれた64ビットのペイロード.DLLのラッパーおよびロードルーチンとして機能します。このフローに関する我々の分析は、<a href="https://www.deepinstinct.com/ja/blog/the-dark-side-of-bumblebee-malware-loader" target="_blank">こちら</a>をご覧ください。PowerShellの代わりにJavaScriptに切り替わる可能性があることは、これまでBumblebeeが確立していたTTPに大きな変化をもたらします。<h5>IcedID - バンカーからローダーへ？</h5>最近の報告が示すように、IcedIDは部分的にEmotetの足跡をたどっているようであり、より一般化されたローダー型マルウェアになることを優先して、バンキングおよび金融系を狙った機能を放棄している可能性があります。新しいJavaScriptタイプのドロッパーとの関連は、この方向転換へのもう1つのステップと見ることができます。<h5>PindOS JavaScriptテクニカル分析</h5>難読化を解除すると、ドロッパーは驚くほどシンプルになります。これは、4つのパラメータを取得する単一の関数「exec」で構成されています：<ul><li>“UserAgent” – Bumblebee’sの .DLLをダウンロードする際に使用するユーザーエージェント文字列</li><li>“URL1” – ダウンロードする最初のアドレス</li><li>“URL2” – 2番目にダウンロードするアドレス</li><li>“RunDLL” – 呼び出すペイロード.DLLエクスポート関数</li></ul>実行されると、ドロッパーは最初にURL1からペイロードをダウンロードし、rundll32.exe経由で指定されたエクスポートを直接呼び出して実行しようとします。これが失敗すると、ドロッパーはURL2からペイロードをダウンロードし、PowerShellとrundll32.exeの組み合わせを使って実行しようとします。ダウンロードされたペイロードは %appdata%/Microsoft/Templates/&lt;6-char-random-number&gt;.dat に保存されます。<figure style="margin-top: auto;margin-right: auto;margin-bottom: auto;margin-left: auto;text-align: center;width: auto;"><figure style = "float: none;width: auto;max-width:auto;"><img asset_uid="blt310d8e627d3469ad" alt="図1 - PindOSの主な機能" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/blt310d8e627d3469ad/6493347db9a076b80b92866c/fig01-pindos-main-function.png" /></figure>図1 - PindOSの主な機能</figure>この関数は、4つの別々のURLで2回呼び出されます：<figure style="margin-top: auto;margin-right: auto;margin-bottom: auto;margin-left: auto;text-align: center;width: auto;"><figure style = "float: none;width: 597px;max-width:597px;"><img asset_uid="blt94b88382eb4426e4" alt="図2 - Bumblebeeドロッパーからのexec関数呼び出し" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/blt94b88382eb4426e4/6493347dd5b9a5988d6de2e6/fig02-exec-function-call-from-bumblebee-dropper.png" height="52" style="max-width: 597px;width: 597px;height: 52px;" /></figure>図2 - Bumblebeeドロッパーからのexec関数呼び出し</figure><figure style="margin-top: auto;margin-right: auto;margin-bottom: auto;margin-left: auto;text-align: center;width: auto;"><img asset_uid="blt2ccea6ece70d6aef" alt="Figure 3 – exec function call from IcedID dropper" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/blt2ccea6ece70d6aef/6493347d1fb2d3643c496f99/fig03-exec-call-from-icedid-dropper.png" style="text-align: center;"/>図3 - IcedIDドロッパーからのexec関数呼び出し</figure><figure style="margin-top: auto;margin-right: auto;margin-bottom: auto;margin-left: auto;text-align: center;width: auto;"><img asset_uid="bltf4668bbd24eb05b8" alt="Figure 4 – Payload download" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/bltf4668bbd24eb05b8/6493347df7411b69d437e201/fig04-payload-download.png" style="text-align: center;"/>図4 - ペイロードのダウンロード</figure>取得されたペイロードは、擬似的にランダムに「オンデマンド」で生成され、その結果、ペイロードが取得されるたびに新しいサンプルハッシュが生成されます。このような手口は、シグネチャベースの検知を避けるために一般的に行われています。しかし、Bumblebeeの場合、「初見」のファイルでもサンプルがシグネチャで <a href="https://www.virustotal.com/gui/file/28c87170f2525fdecc4092fb347acd9b8350ed65e0fd584ce9fc001fd237d523/detection/f-28c87170f2525fdecc4092fb347acd9b8350ed65e0fd584ce9fc001fd237d523-1686560298" target="_blank">検出されやすいため</a>、以前のフロー（ペイロードを直接ディスクに書き込まない）と比べると、これはやや効果がないように思われます。検出されやすい理由は、生成されたペイロードのエクスポートと、生成された異なるサンプル間で変化せず、一定のままである他のいくつかのインジケータ部分によるものと思われます。<figure style="margin-top: auto;margin-right: auto;margin-bottom: auto;margin-left: auto;text-align: center;width: auto;"><img asset_uid="blt9a6ab350a777b88a" alt="Figure 5 – A generalized comparison of Bumblebee’s infection flows - “older” on the right; “newer” on the left." src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/blt9a6ab350a777b88a/64933d2de66699a1d52eb992/fig05-a-generalized-comparison-of-bumblebees-infection-flows.png" style="text-align: center;"/>図5 - Bumblebeeの感染フローの一般的な比較 - 右が 「古い」、左が 「新しい」</figure>Virus Totalによると、「初見 」のPindOSドロッパーの検出率は非常に低い：<img asset_uid="blt5a182e8e00749668" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/blt5a182e8e00749668/64933d2d1fb2d36df6496fcb/fig06-vt-first-seen-detection-pindos-virus.png"/><figure style="margin-top: auto;margin-right: auto;margin-bottom: auto;margin-left: auto;text-align: center;width: auto;"><img asset_uid="blt6e2212907fb50273" alt="Figures 6 & 7 – VT first-seen detection for PindOS droppers" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/blt6e2212907fb50273/64933d2d48a8ff009c477fde/fig07-vt-first-seen-detection-pindos-dropper.png" style="text-align: center;"/>図6と図7 - PindOSドロッパーのVT初見検知</figure><h5>Bumblebee DLLペイロード解析のハイライト</h5>このDLLペイロードは、以前に遭遇したものとは若干異なっています。動的には非常によく似ていますが、難読化のレイヤーがいくつか追加されています。アンチデバッグおよびアンチVM/サンドボックス機能はそのままですが、<a href="https://github.com/FFmpeg/FFmpeg/blob/1617d1a752d5e97d5e74f6c384609c027c884553/libavutil/error.c" target="_blank">FFmpegプロジェクトのオープンソース</a> プロジェクトの "error.c "ファイルから取られた 「正規のように見える」 文字列がいくつか追加されており、同じプロジェクトの他のいくつかのファイルが目くらましの目的で追加されています：<figure style="margin-top: auto;margin-right: auto;margin-bottom: auto;margin-left: auto;text-align: center;width: auto;"><img asset_uid="blt64d2e5ce682d4b38" alt="Figure 8 – Strings found in Bumblebee DLL" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/blt64d2e5ce682d4b38/6493347d9601bc69e508214d/fig08-strings-found-in-bumblebee-dll.png" style="text-align: center;"/>図8 - Bumblebee DLLで見つかった文字列</figure><figure style="margin-top: auto;margin-right: auto;margin-bottom: auto;margin-left: auto;text-align: center;width: auto;"><img asset_uid="bltff29e3f9d11aa98a" alt="Figure 9 – FFmpeg project source, “error.c” file." src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/bltff29e3f9d11aa98a/6493347dea50bc3ffabea7f4/fig09-ffmpeg-project-source-error.c-file.png" style="text-align: center;"/>図9 - FFmpegプロジェクトのソース、"error.c "ファイル</figure>もう1つの違いは、以前のBumblebee DLLには2つの主要なエクスポート機能がありましたが、新しいDLLには4つのエクスポート機能があることです。<figure style="margin-top: auto;margin-right: auto;margin-bottom: auto;margin-left: auto;text-align: center;width: auto;"><img asset_uid="blt3c905274f728fa88" alt="Figure 10 – “New” Bumblebee DLL Exports" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/blt3c905274f728fa88/6493347dd2420473b31cd636/fig10-new-bumblebee-dll-exports.png" style="text-align: center;"/>図 10 - 「新しい」Bumblebee DLL エクスポート</figure><figure style="margin-top: auto;margin-right: auto;margin-bottom: auto;margin-left: auto;text-align: center;width: auto;"><img asset_uid="bltcb5ad0e83176edf1" alt="Figure 11 – “Old” Bumblebee DLL exports, with main “SetPath” function" src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/bltcb5ad0e83176edf1/6493347d75c2ae82940617e7/fig11-old-bumblebee-dll-exports-with-main-setpath-function.png" style="text-align: center;"/>図11 - 「古い」Bumblebee DLLエクスポート、メイン "SetPath "関数付き</figure>DLLをさらに調べると、前の変形と同じメイン関数にたどり着きます。<figure style="margin-top: auto;margin-right: auto;margin-bottom: auto;margin-left: auto;text-align: center;width: auto;"><img asset_uid="bltec80d5d7fc0f0819" alt="Figure 12 – “SetPath” in the “new” Bumblebee DLL." src="https://images.contentstack.io/v3/assets/blt1ec077b6b53d6b3e/bltec80d5d7fc0f0819/6493347ee6669913502eb96f/fig12-setpath-in-the-new-bumblebee-dll.png" style="text-align: center;"/>図12 - 「新しい」Bumblebee DLLの "SetPath"</figure><h5>結論</h5>Bumblebeeの最新の「実験」は、検知リスクを低減する手段として、疑似ランダム・サンプル生成を活用しようとするものです。これは、PindOSドロッパーを「共有」しているIcedIDを含め、金融/バンキングマルウェアの攻撃者によって長年使用されてきました。PindOSがBumblebeeやIcedIDの背後にいるグループによって恒久的に採用されるかどうかはまだ分かりません。この "実験"がこれらの "仲間"であるマルウェア群の配信に成功すれば、彼らの武器庫における恒久的なツールとなり、他の攻撃者たちの間で人気を博すかもしれません。Bumblebeeと <a href="https://thedfirreport.com/2023/05/22/icedid-macro-ends-in-nokoyawa-ransomware/" target="_blank">IcedID</a> はランサムウェアを配信することが知られているため、セキュリティチームはこれらのIOCに注意することをお勧めします。IOCの最新リストは<a href="https://github.com/deepinstinct/PindOS-JS-Dropper" target="_blank">GitHubページ</a>でご覧いただけます。<h5>IOCs</h5><ul><li>Network Artifact User-Agent: PindOS</li><li>Bumblebee infection URLs hxxps://qaswrahc.com/wp-content/out/mn[.]php hxxp://tusaceitesesenciales.com/mn[.]php hxxp://carwashdenham.com/mn[.]php hxxps://intellectproactive.com/dist/out/mn[.]php</li><li>Bumblebee .JS dropper SHA256 bcd9b7d4ca83e96704e00e378728db06291e8e2b50d68db22efd1f8974d1ca91 07d2cb0dc0cd353fb210b065733743078e79c4a27c42872cd516a6b1fb1f00d1 00ec8f3900336c7aeb31fef4d111ee6e33f12ad451bc5119d3e50ad80b2212b0 15da5b0a65dd8135273124da0c6e52e017e3b54642f87571e82d2314aae97eec 180a935383b39501c7bdf2745b3a334841f01a7df9d063fecca587b5cc3f5e7a</li><li>Bumblebee DLL payload SHA256 24dd5c33b8a5136bdf29d0c07cf56ef0e33a285bb12696a8ff65e4065cb18359 76c9780256e195901e1c09cb8a37fb5967f9f5b36564e380e7cf2558652f875b 28c87170f2525fdecc4092fb347acd9b8350ed65e0fd584ce9fc001fd237d523 ac261ac26221505798c65c61a207f3951cc7dce2e1014409d8a765d85bfd91d4</li><li>IcedID infection URLs hxxps://masar-alulaedu.com/wp-content/woocommerce/out/berr[.]php hxxps://egyfruitcorner.com/wp-content/tareq/out/berr[.]php hxxps://tech21africa.com/wp-content/uploads/out/berr[.]php hxxps://www.posao-austrija.at/images/out/lim[.]php hxxps://logisticavirtual.org/wp-content/out/lim[.]php hxxps://adecoco.us/wp-content/out/lim[.]php hxxps://acsdxb.net/wp-content/out/lim[.]php</li><li>IcedID .JS dropper SHA256 92506fe773db7472e7782dbb5403548323e65a9eb2e4c15f9ac65ee6c4bd908b c84c84387f0b9e7bc575a008f36919448b4e6645e1f5d054e20b59be726ee814 7355656f894ae26215f979b953c8fa237dc39af857a6b27754a93adb1823f3b6 8f40ff286419eb4b0c4d15710dc552afb2c2a227a180f4b4f520d09b05724151</li><li>IcedID DLL payload SHA256 9101975f7aca998da796fc15a63b36ab8aa0fe0aed0b186aaed06a3383d5f226 4f0c9c6fc1287ef16f4683db90dd677054a1f834594494d61d765fa3f2e1352c cb307d7fa6eaac6a975ad64ff966ff6b0b0fdd59109246c2f6f5e8d50a33e93c 361b0157ef63d362fdd4399288f5f6a0e1536633dfb49c808a3590718c4d8f10 e71c9ac9ddd55b485e636840da150db5cd2791d0681123457bd40623acd8311c 8ae3be9f09f5fc64ec898a4d6467b2f6e50eaaa26fc460a4f1a9b9566e97a9a7</li></ul><h5>MITRE ATT&amp;CK</h5><table><thead><tr><th style="width: 13%;">タクティクス</th><th>テクニック</th><th>概要</th><th>オブザーバブル</th></tr></thead><tbody><tr><td>エグゼキューション</td><td>コマンドとスクリプトのインタープリタ： JavaScript - T1059.007</td><td>攻撃者はJavaScriptのさまざまな実装を悪用して実行する可能性がある</td><td>.JS Droppers</td></tr><tr><td>防御回避</td><td>システムバイナリプロキシ実行： Rundll32 - T1218.001</td><td>攻撃者はrundll32.exeを悪用し、悪意のあるコードの実行を代理する可能性がある</td><td>Rundll32.exe 使用状況</td></tr><tr><td>防御回避</td><td>難読化されたファイルまたは情報 - T1027</td><td>攻撃者は、実行ファイルやファイルの内容を暗号化、符号化、あるいはシステム上や転送中に難読化することで、発見や分析を困難にする可能性がある</td><td>難読化JS、"Random" 生成ペイロード</td></tr></tbody></table>

DSX for Cloud - Amazon S3を発表。ネイティブに統合されたAWS S3向けゼロデイデータセキュリティ

Deep Instinct Threat Lab

From Deep Instinct Threat Lab.

Deep Dive: ステルス性の高い新型BlackSuitランサムウェアを暴く