【サービス概要】脅威インテリジェンスサービス『Cognyte』
当社は脅威インテリジェンスプラットフォームLuminarを開発しているCognyte社の販売および技術パートナーとして、脅威インテリジェンスを活用したサイバーセキュリティ対策の強化を提案しています。攻撃者の性質や動機を理解したり、攻撃の予兆を察知したり、もしくは漏えいデータが闇市場に出回ったりしていないか調査したり、その活用方法はさまざまです。本資料ではCognyte社の紹介と共に、豊富な情報源と...
SOMPO CYBER SECURITY
脅威インテリジェンスプラットフォームCognyteは、ダークウェブやTelegram、SNSなどから膨大な情報を収集し、情報漏洩や脅威アクターの活動を検知することによって、組織のサイバー・リスクを軽減させるサービスです。
Cognyte CTI Research Group@Cognyte | 2023年6月
2023年4月25日、Mystic Stealerなるインフォスティーラー型マルウェアがロシア語ダークウェブ・フォーラムに出現しました。このインフォスティーラーは、同名のMystic Stealerという脅威アクターによって、月額150ドルのサブスクリプション形態で販売・宣伝されています。
この記事では、Mystic Stealerの概要を紹介します。
記事に関するご意見・お問い合わせはこちらへお寄せください。
(SOMPOホールディングス、損害保険ジャパンなどグループ各社へのお問い合わせはご遠慮下さい)
フォーラムに投稿された宣伝によれば、Mystic StealerはC言語で開発され、サイズは200KBから250KB程度です。またサーバー側プログラムはPythonで作成されています。
マルウェアには自身をロードするローダーと、亜種を作成するモーフィング・エンジンが含まれています。
対応OSはWindows XPやWindows11(x86およびx64)を含むすべてのWindowsです。
Mystic Stealerは次のような機能を持っています。
販売者によれば、Mystic Stealerはいかなるサードパーティ製ライブラリやコンポーネントも利用していないとのことです。また、このマルウェアは検知回避のためにメモリ内で実行され、システムコールを使い侵害を行います。このため、データ窃取プロセスを通じてハードディスクに痕跡を残すことがありません。
対象データを検知次第、マルウェアはこのデータを圧縮・暗号化し転送します。
運用者のサーバから、Mystic Stealerの管理パネルおよびログにアクセスすることが可能です。
パネルは以下の機能を備えています。
Mystic Stealerの管理パネルは、リモートでアクセス可能であり、またモーフィング・エンジンを利用し、マルウェアの亜種を生成することもできます。
販売者が公開した管理パネルのスクリーンショットによれば、このマルウェアは既にフランスの特定組織を侵害しているとみられます。
Mystic Stealerに対して投稿された評価やコメントは様々です。
Mystic Stealerは、このマルウェアと同名の脅威アクターによってXSSおよびBhfという2つのロシア語アンダーグラウンド・フォーラムで宣伝されています。
今回紹介したMystic Stealerに対する複数の肯定的な評価や、使用をおすすめするコメントを考慮すると、将来的にこのマルウェアがサイバー犯罪者の間で普及する可能性があります。
Cognyteは、本記事末尾に示すIoCを組織のセキュリティツールに組み込み、また各種ソフトウェアやセキュリティ製品を最新の状態に更新し、侵害に備えることを推奨します。
記事に関するご意見・お問い合わせはこちらへお寄せください。
(SOMPOホールディングス、損害保険ジャパンなどグループ各社へのお問い合わせはご遠慮下さい)
| 型式 | 値 |
| IPv4 | 94.130.165.48 |
| IPv4 | 89.23.107.241 |
| IPv4 | 95.216.32.74 |
| IPv4 | 142.132.201.228 |
| IPv4 | 94.23.17.222 |
| IPv4 | 94.130.216.165 |
| IPv4 | 5.75.183.169 |
| IPv4 | 185.252.179.18 |
| IPv4 | 94.130.164.47 |
| IPv4 | 91.121.118.80 |
| IPv4 | 116.202.233.49 |
| IPv4 | 43.154.7.225 |
| IPv4 | 23.163.0.179 |
| IPv4 | 95.216.32.74 |
| IPv4 | 135.181.47.95 |
| IPv4 | 188.40.116.251 |
| Domain | https://www.teammsolutions.com |
| Domain | https://hanoigarden.net |
| Domain | https://alchemistwallet.io |
| Domain | https://www.kavier.com.mx |
| Domain | https://www.alerterapp.mobi |
| Domain | www.123-domaines.net |
当社は脅威インテリジェンスプラットフォームLuminarを開発しているCognyte社の販売および技術パートナーとして、脅威インテリジェンスを活用したサイバーセキュリティ対策の強化を提案しています。攻撃者の性質や動機を理解したり、攻撃の予兆を察知したり、もしくは漏えいデータが闇市場に出回ったりしていないか調査したり、その活用方法はさまざまです。本資料ではCognyte社の紹介と共に、豊富な情報源と...
脅威インテリジェンスサービスCognyteは、ダークウェブやTelegram、SNSなどから膨大な情報を収集し、情報漏洩や脅威アクターの活動を検知することによって、組織のサイバー・リスクを軽減させるサービスです。 Cognyte CTI Research Group@Cognyte | 2024年5月 2024年5月1日、ロシア語のダークウェブ・フォーラムにおいて"murava"と称する脅威アクタ...
脅威インテリジェンスサービスCognyteは、ダークウェブやTelegram、SNSなどから膨大な情報を収集し、情報漏洩や脅威アクターの活動を検知することによって、組織のサイバー・リスクを軽減させるサービスです。 Cognyte CTI Research Group@Cognyte | 2024年4月 2024.4.17追記本記事公開後、当該脆弱性の悪用条件等の更新が行われています。最新の情報はP...
サプライチェーンリスク評価サービス『Panorays』の採用事例として、株式会社ダイフクさまにお話をうかがいました。 近未来を想像させる大阪市内にある真新しい本社ビルで、サプライチェーンリスク評価サービス『Panorays』の採用事例の取材をさせて頂いたのは、日本国内外でビジネスを大きく成長させている製造大手の株式会社ダイフクさまです。実際の運用はまだこれからという段階であり、採用に至った背景や理...