カテゴリー
マルウェア分析
2025年11月15日
RONINGLOADER: DragonBreath の PPL 乱用への新たな道
Elastic Security Labs は、DragonBreath の更新された gh0st RAT バリアントを展開するマルチステージ ローダーである RONINGLOADER を発見しました。このキャンペーンでは、署名付きドライバー、スレッドプール インジェクション、PPL の悪用を武器にして、Defender を無効にし、中国の EDR ツールを回避します。
料金所: 君のはどうだ、IISは俺のだ
REF3927 は、公開されている ASP.NET マシン キーを悪用して IIS サーバーを侵害し、TOLLBOOTH SEO クローキング モジュールを世界中に展開します。
0xelm Streetのナイトメア、ガイド付きツアー
この記事では、Elastic Security Labs が分析の拡張を支援するために開発した、マルウェア研究者向けの Python ベースのライブラリである nightMARE について説明します。nightMARE を使用してマルウェア構成抽出ツールを開発し、インテリジェンス インジケーターを切り出す方法について説明します。
WARMCOOKIE 1周年:新機能と新鮮な洞察
1 年後: Elastic Security Labs が WARMCOOKIE バックドアを再調査します。
MaaS の魅力: インフォスティーラーが灰の中から立ち上がる
NOVABLIGHT は、MaaS 製品として開発および販売されている NodeJS インフォスティーラーです。これは主に資格情報を盗み、暗号ウォレットを侵害するために使用されます。
哀れなクライアント:ClickFixの欺瞞から情報窃取者の展開まで
Elastic Security Labsは、GHOSTPULSEを使用してリモートアクセス型トロイの木馬やデータ窃取型マルウェアをデプロイし、ClickFixキャンペーンの急増を検知しました。
Chasing Eddies: CAPTCHA キャンペーンで使用される新しい Rust ベースの InfoStealer
Elastic Security Labsが、CAPTCHAベースの新たなキャンペーンで使用される軽量のコモディティインフォスティーラー、EDDIESTEALERについて解説します。
De-obfuscating ALCATRAZ
難読化ツール「アルカトラズ」が使用した手法を探ります。
Outlaw Linuxマルウェア:永続的で洗練されておらず、驚くほど効果的
Outlawは、単純なブルートフォース攻撃とマイニング戦術を利用して、ボットネットを長期間維持する永続的なLinuxマルウェアです。
シェルビー戦略
REF8685がC2の防御を回避するためにGitHubを悪用した分析。
ABYSSWORKER ドライバーに光を当てる
Elastic Security Labsは、マルウェア対策ツールを無効にするためにMEDUSAランサムウェア攻撃チェーンで使用される悪意のあるドライバーであるABYSSWORKERについて説明します。
マルウェアがあります:FINALDRAFTは下書きに隠れています
最近の調査(REF7707)で、Elastic Security Labsは外務省を標的とした新しいマルウェアを発見しました。このマルウェアには、C2通信にMicrosoftのGraph APIを使用するなど、多くの機能を備えたカスタムローダーとバックドアが含まれています。
GOSARとSADBRIDGEの下で:Golangで書き直されるQUASAR
Elastic Security Labsは、中国語を話す被害者を標的としたキャンペーンで使用されたマルウェア、SADBRIDGEローダーとGOSARバックドアの詳細を共有します。
PUMAKITの爪を抜く
PUMAKITは、高度なステルス機構を用いてその存在を隠し、コマンド&コントロールサーバーとの通信を保持する、洗練されたローダブルカーネルモジュール(LKM)ルートキットです。
いたちごっこ:MaaSインフォスティーラーがパッチ適用済みのChrome防御に適応
Elastic Security Labsは、Chrome 127のアプリケーションバウンド暗号化スキームに対するインフォスティーラーエコシステムの反応から、バイパスの実装を分析します。
トリックアンドトリート:GHOSTPULSEによる新たなピクセルレベルの欺瞞
更新されたGHOSTPULSEマルウェアは、ピクセル構造内に悪意のあるデータを直接埋め込むように進化したことにより、検出が困難になり、新しい分析・検出手法が必要とされています。
ボットに託す望み:Linuxマルウェア、クリプトマイニング、ギャンブル向けAPIの不正使用を調査中
REF6138キャンペーンでは、クリプトマイニング、DDoS攻撃、ギャンブル向けのAPIを介したマネーロンダリングが発生した可能性があり、攻撃者が進化を続けるマルウェアとステルス通信チャネルを使用していることが浮き彫りになりました。
行動規範:北朝鮮のPythonによるセキュリティ保護されたネットワークへの侵入
このドキュメントは、北朝鮮によるPythonの戦略的使用と入念に作成されたソーシャルエンジニアリングを調査し、進化を続ける効果的なサイバー攻撃によって、安全性の高いネットワークをどのように侵害するのか明らかにします。
嘆きの向こう側:BANSHEEインフォスティーラーを紐解く
BANSHEEマルウェアはmacOSベースの情報窃取プログラムで、システム情報、ブラウザデータ、暗号通貨ウォレットを狙います。
BITSとバイト: 新たに特定されたバックドア、BITSLOTHを分析
Elastic Security Labsは、C2にバックグラウンドインテリジェント転送サービス(BITS)を活用する新たなWindowsバックドアを特定しました。このマルウェアは、REF8747として追跡されている最近のアクティビティグループで発見されました。
危険に身を投じる:WARMCOOKIEのバックドア
Elastic Security Labsは、脅威アクターがWARMCOOKIEと呼ばれる新しいマルウェアバックドアを展開するために、企業を装っていることを観測しました。 このマルウェアには、スクリーンショットのキャプチャ、追加のマルウェアの実行、ファイルの読み取り/書き込みなど、標準のバックドア機能があります。
グローバルに分散したスティーラー
この記事では、上位のマルウェア スティーラー ファミリの分析、その操作方法、最新の更新、および構成について説明します。 各家族の手口を理解することで、その影響の大きさをよりよく理解し、それに応じて防御を強化することができます。
LATRODECTUSによる春の大掃除:ICEDIDの潜在的な代替品
Elastic Security Labsは、LATRODECTUSとして知られる最近の新しいローダーの増加を確認しました。 この軽量ローダーは、ICDIDとのつながりで大きなパンチを詰め込み、ローダー市場のギャップを埋めるための可能な代替品に変わる可能性があります。
REMCOS RATの解剖:広く普及している 2024 マルウェアの詳細な分析、パート4
このマルチパートシリーズの以前の記事では、Elastic Security Labsチームのマルウェア研究者がREMCOSの設定構造を分解し、そのC2コマンドについて詳細を説明しました。 この最後のパートでは、Elasticテクノロジーを使用したREMCOSの検出とハンティングについて詳しく説明します。
REMCOS RATの解剖:広く普及している 2024 マルウェアの詳細な分析、パート3
このマルチパートシリーズの前回の記事では、Elastic Security Labsチームのマルウェア研究者がREMCOSの実行フローについて掘り下げました。 この記事では、REMCOS の構成構造とその C2 コマンドについて詳しく説明します。
REMCOS RATの解剖:広く普及している 2024 マルウェアの詳細な分析、パート2
REMCOS インプラントに関するこのシリーズの前回の記事では、実行、永続化、および防御回避メカニズムに関する情報を共有しました。 このシリーズに引き続き、実行フローの後半を取り上げ、REPCOSの記録機能とC2との通信について詳しく学びます。
REMCOS RATの解剖:広く普及している 2024 マルウェアの詳細な分析、パート1
このマルウェア研究記事では、REMCOS インプラントの概要を説明し、このマルチパート シリーズの今後の記事の背景を提供します。
500ms to midnight: XZ A.K.A. liblzma backdoor
Elastic Security Labsは、潜在的な侵害を特定するためのYARAルール、osquery、KQL検索など、XZ Utilityバックドアの初期分析を公開しています。
Hex-Rays 逆コンパイルの内部の概要
本書では、Hex-Raysマイクロコードを掘り下げ、生成されたCTreeを操作して逆コンパイルされたコードの難読化を解除し、注釈を付けるための手法を探ります。
GULOADERでねばねばする:ダウンローダーの難読化を解除する
Elastic Security Labsが、更新されたGULOADER分析対策について説明します。
エラスティックは、KANDYKORNを気絶DPRKキャッチ
Elastic Security Labsは、北朝鮮がブロックチェーンエンジニアに新たなmacOSマルウェアを感染させようとしたことを明らかにします。
GHOSTPULSEは、防御回避バッグのトリックを使用して犠牲者を悩ませます
Elastic Security Labsは、防御回避機能を活用して被害者を悪意のあるMSIX実行可能ファイルに感染させる新たなキャンペーンの詳細を明らかにしました。
BLOODALCHEMYのバックドアの公開
BLOODALCHEMYは、積極的に開発された新しいバックドアで、良性のバイナリをインジェクションビークルとして活用し、REF5961侵入セットの一部です。
名前付きパイプで夜通し踊る - PIPEDANCEクライアントリリース
この資料では、このクライアント アプリケーションの機能と、ツールの使用を開始する方法について説明します。
REF5961侵入セットのご紹介
REF5961侵入セットは、ASEAN加盟国を標的とする3つの新しいマルウェアファミリを公開しています。 この侵入セットを利用する脅威アクターは、その能力を開発し、成熟させ続けています。
ブリスターの再考:ブリスターローダーの新開発
Elastic Security Labsは、BLISTERローダーマルウェアファミリーの最近の進化について深く掘り下げます。
An Elastic approach to large-scale dynamic malware analysis
This research reveals insights into some of the large-scale malware analysis performed by Elastic Security Labs, and complements research related to the Detonate framework.
北朝鮮は、RUSTBUCKETの新たな変種を使用して攻撃を行う
注意して下さい! 最近、RUSTBUCKETの亜種を発見しました。 この記事では、これまでに確認した新機能と、それを独自のネットワークで識別する方法について理解してください。
NAPLISTENER:SIESTAGRAPHの開発者からのさらなる悪い夢
Elastic Security Labsは、SIESTAGRAPHの脅威がデータ窃盗から永続的なアクセスへと優先順位を移し、NAPLISTENERのような新しいマルウェアをデプロイして検出を回避していることを確認しています。
SPECTRALVIPERを誘うElastic
Elastic Security Labsは、ベトナムの国営農業関連企業を標的としたP8LOADER、POWERSEAL、SPECTRALVIPERのマルウェアファミリーを発見しました。REF2754は、REF4322およびAPT32アクティビティグループのマルウェアと動機付けの要素を共有しています。
Elastic Security Labsがr77ルートキットを順を追って説明する
Elastic Security Labsは、r77ルートキットを活用したキャンペーンを調査し、XMRIG暗号マイナーのデプロイを確認しています。 この調査では、ルートキットのさまざまなモジュールと、それらが追加の悪意のあるペイロードをデプロイするためにどのように使用されているかに焦点を当てています。
Elastic Security LabsがLOBSHOTマルウェアを発見
Elastic Security Labsは、新しいマルウェアファミリーをLOBSHOTと名付けました。 LOBSHOTは、Google AdsやhVNCセッションを通じて標的のネットワークに伝播・侵入し、正規のアプリケーションインストーラーを装ったバックドアを展開します。
Elasticのユーザーは、SUDDENICONのサプライチェーン攻撃から保護されています
Elastic Security Labsは、3CX VOIPソフトフォンユーザーに影響を与える可能性のあるサプライチェーンの侵害であるSUDDENICONの初期検出において、3CXのお客様を支援するトリアージ分析をリリースします。
ブリスターローダー
BLISTERローダーは、さまざまなマルウェアをロードするために引き続き積極的に使用されています。
攻撃チェーンはXWORMとAGENTTESLAにつながります
私たちのチームは最近、複数のステージを持つ十分に開発されたプロセスを採用した新しいマルウェアキャンペーンを観察しました。 このキャンペーンは、疑いを持たないユーザーをだまして、正当に見えるドキュメントをクリックさせるように設計されています。
もう眠れなくて:SOMNIRECORDのモーニングコール
Elastic Security Labsのリサーチャーは、C++で記述された新しいマルウェアファミリー、SOMNIRECORDを特定しました。 このマルウェアはバックドアとして機能し、DNSを装いながらコマンド&コントロール(C2)と通信します。
ICEDIDの永久凍土の融解まとめ
Elastic Security Labsは、ローダーとボットペイロードで構成される最近のICEDID亜種を分析しました。 この研究をエンドツーエンドでコミュニティに提供することで、ICEDIDの実行チェーン、機能、および設計に対する認識を高めたいと考えています。
ダンスフロアを2回る - ElasticはPIPEDANCEのバックドアを発見します
Elastic Security Labsは、最近発見されたトリガー可能なマルチホップバックドア(PIPEDANCE)を使用して、ベトナムの組織への積極的な侵入を追跡しています。 このフル機能のマルウェアは、名前付きの
CUBAランサムウェアマルウェアの分析
Elasticセキュリティは、CUBEAランサムウェアファミリーの詳細なテクニカル分析を実施しました。 これには、マルウェアの機能だけでなく、防御的な対策も含まれます。
QBOTマルウェアの分析
Elastic Security Labsは、実行チェーンを網羅したQBOTマルウェア分析レポートをリリースしました。 この調査から、チームは YARA ルール、構成抽出ツール、および侵害の兆候 (IOC) を作成しました。
FLARE-ON 9 Solutions:
This year's FLARE-ON consisted of 11 different reverse engineering challenges with a range of interesting binaries. We really enjoyed working on these challenges and have published our solutions here to Elastic Security Labs.
REF2731 侵入セットの調査
Elastic Security Labsチームは、PARALLAXローダーとNETWIRE RATが関与する5段階の侵入セットであるREF2731を追跡しています。
TTDエコシステムの深堀り
これは、マイクロソフトが開発したタイム トラベル デバッグ (TTD) テクノロジに焦点を当てたシリーズの第 1 回で、最近の独立した調査期間中に詳細に調査されました。
YIPPHBドロッパーで時間を過ごす
Elastic Security Labsでは、REF4526侵入セットのさまざまな段階を収集して分析する手順の概要を説明します。 この侵入セットは、Powershell スクリプトの Unicode アイコンの創造的なアプローチを使用して、ローダー、ドロッパー、および RAT インプラントをインストールします。
BUGHATCHマルウェア分析
Elasticセキュリティは、BUGHATCHマルウェアの詳細なテクニカル分析を実施しました。 これには、能力だけでなく、防御的な対策も含まれます。
Elasticはウクライナを標的としたデータワイパーマルウェアから保護:HERMETICWIPER
ウクライナの組織を標的としたマルウェア「HERMETICWIPER」の分析。
BPFDoorの裏側を覗く
この調査では、以前に侵害された、または積極的に侵害されたターゲット環境に再び侵入するために、Linux用に特別に作成されたバックドアペイロードであるBPFDoorについて説明します。
世界的脅威 ― Deimosインプラントのピラミッドを登る
Deimosインプラントは 2020 年に最初に報告され、活発に開発されてきました。高度な解析対策を採用して、解析を挫折させます。 この記事では、マルウェア指標によるキャンペーンTTPについて詳しく説明します。