はじめに 本記事では、BEC(ビジネスメール詐欺)の脅威について記載しています。BECはメールによるコミュニケーションを悪用した企業に対する詐欺行為を指します。BECの攻撃の流れを含む、概念的な要素は、本記事では割愛しております。ご興味がありましたら弊社のBECページ(https://www.macnica.net/solution/bec.html/)に記載しておりますので、そちらをご確認ください。 弊社で初めてBECを観測したのは2015年頃で、その後もぽつぽつと観測していました。その後、国内企業でも大きな被害が報告されるようになり、昨年から本腰を入れて調査するようになりました。調査以前、筆者は、BECの攻撃頻度は高くないと想定していました。しかし、その予想は誤っており、実際には日々多くの攻撃が発生していることが分かりました。12月末は攻撃数がピークとなり、通常ひと月10件以下である攻
世間で大きく報道されているマルウェアEmdivi(エムディヴィ)やCloudyOmega(クラウディオメガ)に関連する件において、被害組織に対する非難の報道が多い一方で、本当に非難するべき対象は攻撃者であり、攻撃者に関する情報がほとんど報道されていないように見受けられます。この状況を少しでも変えるべく、弊社が把握している情報を、差支えのない範囲で共有させて頂きます。 なお、この記事は、Emdiviと呼ばれるRAT(Remote Access Tool)に分類されるマルウェアに関する内容であり、今年1月の記事の続報であります。 弊社が今までに捕獲したEmdiviのマルウェア検体、およびそれらの接続先であるC2サーバのホスト名とIPアドレスの相関をまとめたものが図1の通りです。黄色がマルウェアのハッシュ(ドロッパおよびRAT本体)、青色がC2サーバのホスト名、緑色がC2サーバのIPアドレスを示
5月某日、ある検体を入手しました。この時点ではマルウェアなのかどうかは不明でしたが、様々なツール(VirusTotal、サンドボックス、IDA Proなど)の解析の結果は壊れているファイルとなっており、正しい解析結果が得られませんでした。そのため、手動で解析することになりました。 その解析の流れと結果を書きます。 ■バイナリエディタで目grep まずはファイルタイプの調査から開始しました。 図1、バイナリエディタ 見ての通り、PEファイルです。ただし、後半部分に白い線がたくさん入っていたり(NULLバイトが連なっている)、中盤が赤い(ASCIIコードが多い)割には意味のありそうな文字列は見当たらなかったりと難読化、暗号化が施されているPEファイルではないかと推測しました。 ちなみにVirusTotalにアップロードした結果、検出率は5/52と低めで、ここでもファイルが壊れている旨の検知結果
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
