Millenium RAT、Base64とXORでTelegram C2設定を隠蔽
Millenium RATのバージョン4.*は、コンパクトながら強力な進化を遂げています。このマルウェアは.NETからネイティブC++へと移行しつつも、専用サーバーインフラを必要としないTelegramベースのC2(コマンド&コントロール)モデルを継続採用しています。 Group-IBが分析したサンプルセットおよびテ
タグ: マルウェア解析
静かなる破壊者:Gentlemenが誇るEDRキラーフレームワークの全貌
ESETの研究者は、ランサムウェア・アズ・ア・サービス(RaaS)ギャングであるGentlemenが保有する強力なEDRキラーツールセットを分析しました。2026年初頭以降、Gentlemenはランサムウェアのエコシステムにおいて最も活発なギャングのひとつとして台頭しています。このグループが際立っているのは、
FishMongerの兵器庫が進化:Windows版SprySOCKSの登場
ESETの研究者は、SprySOCKSのWindowsバリアント2種を新たに発見しました。このバックドアはこれまでLinux専用とされており、I‑SOONという中国系請負業者が運営していると報告されているFishMongerが使用していたものです。マルウェアサンプルはまずVirusTotalで発見されましたが
GoFlateLoaderマルウェアローダー:GolangベースのInfostealer脅威
悪意あるソフトウェアを隠蔽する最も単純な手法は、巧妙なカモフラージュではなく、過剰なデジタルサイズによるものである場合があります。GoFlateLoaderはまさにこの手法を活用しています。これはGolangで実装されたローダーであり、Lumma、Vidar、StealC、Amatera、Remu
敵対的アライメント:脅威アクターがAIの安全機能を悪用してマルウェア解析を妨害
最先端の人工知能モデルの大半には、組み込みの安全機能が備わっています。そのため、これらのプロトコルは生物兵器や核兵器に関する問い合わせを能動的にブロックします。具体的には、システムが危険なトリガーワードを検出すると、即座にプロンプトを拒否します。ところが今、脅威アクターはこの防御的なガードレールを逆手に取るようになっ
GhostChrome-Xの内部構造:Chrome拡張機能の整合性検証バイパス手法 | CXO Transformation
エグゼクティブサマリー Rubrik Zero Labsが構築したAI支援型マルウェア解析パイプラインにより、「GhostChrome-X」と命名された新たな脅威が特定されました。認証情報の窃取やセッションハイジャックを主目的とする従来のブラウザベースマルウェアとは
Mustang Panda、LNKとPowerShellチェーンを使ったPlugX RATの展開手法
Mustang Pandaは、偽の「Browser Updater」と多段階LNK–PowerShellローダーを組み合わせ、正規のG DATAアンチウイルスバイナリを悪用してPlugXをサイドロードする攻撃を行っています。最終的にはハードコードされたC2サーバーにHTTPS経由でビーコン通信を行い、多層暗号化とAP
Mini Shai-Hulud、@antv npmパッケージを攻撃、CI/CDシークレットを狙う
広く使用されている@antv npmエコシステムを対象とした積極的で高度なサプライチェーン攻撃。脅威アクターは保守担当者アカウントを侵害し、機密CI/CDクレデンシャルを盗むように設計された悪意あるパッケージ更新をプッシュしました。 「Mini Shai-Hulud」と呼ばれるこのキャンペーンは、深く統合されたオー
内部構造の解析:「Gentlemen」ESXiランサムウェアの解剖 | CXO Transformation
「Gentlemen」ランサムウェアグループは、VMware ESXiハイパーバイザーを標的に特化した高度なELFバイナリを展開していることが確認されています。このサンプルはESXiコマンドラインエコシステム(esxcli、vim-cmd)に対する深い知識を有しており、暗号化前に仮想マシン(VM)を強制終了し、ストレー
Needle:マルウェア自身に鍵を残した、モジュール型暗号資産窃取C2の内部構造
調査に関する注記:本調査で使用したAPIキーは、MalwareBazaarで公開配布されているマルウェアから抽出したものです。同キーは、脅威アクター自身が感染端末からのコールホーム用にエージェントへ埋め込んだ認証情報です。被害者データは、本レポートに記載した統計情報を除き一切保持しておりません。また、設定の変更も行
すべての記事を読み込みました