ナビゲーションをスキップする
BlackBerry ブログ

DarkBit ランサムウェア、豊富なコマンドラインオプションと最適化された暗号化ルーチンを備え、イスラエルを狙う

原文のブログはこちらからご覧いただけます。

概要

最近の脅威環境に、イスラエルのトップクラスの研究大学であるテクニオン - イスラエル工科大学(IIT)を標的とした DarkBit という新しいランサムウェア系統が出現しました。

Golang でコンパイルされたこのランサムウェアの背後にいる脅威アクターは、地政学的な動機を持つようです。脅迫状では、最近テクノロジー業界全体で相次ぐ一時解雇に言及するとともに、反イスラエルおよび反政府的な発言が多く見られます。

メインとなるポータブル実行可能(PE)モジュールは、豊富なコマンドラインオプションと、大容量ファイルに対するデータ暗号化の最適化をサポートしています。

図 1:DarkBit の脅迫状
 

復号ツールを公開するために要求された身代金は 80 ビットコイン(BTC)であり、本記事執筆時点で約 186 万 9,760 米ドルに相当します。ハイファに本部を置く同大学が Twitter アカウントにヘブライ語でツイートした内容(下記)によれば、同大学は現在、攻撃範囲を特定するためのインシデント対応活動を行っています。

「テクニオンはサイバー攻撃を受けています。攻撃範囲とその性質については現在調査中です。情報の処理と収集のプロセスを実行するにあたり、テクニオン内外のこの分野最高の専門家の協力を仰ぎ、管轄当局と連携しています。現時点においてテクニオンは、全通信ネットワークを予防的に遮断しています」

武器化と技術的概要

武器 Golang でコンパイルされた PE 実行可能ファイル
攻撃ベクトル 不明
ネットワークインフラストラクチャ TOX、TOR
標的 教育


技術的解析

背景

2023 年 2 月 12 日、テクニオン - イスラエル工科大学(IIT)がランサムウェア攻撃を受けました。この攻撃の背後にいる脅威アクターは、これまで知られていなかった DarkBit と名乗るグループであり、自らのブランドを冠した .onion Web サイトと Twitter ページを通じて犯行声明を出しました。

これまでのところ、攻撃の実際の範囲やランサムウェアの影響を受けたコンピューターシステムの台数について、同大学からの公式発表はありません。また、侵害のきっかけや初期感染経路についても公開されていません。

この攻撃で、影響を受けたデバイスではランサムウェアによってさまざまなファイルが暗号化され、それらのファイルには暗号化を示す.Darkbit というファイル拡張子が付加されました。さらに、ランサムウェアが侵害した全ディレクトリに、RECOVERY_DARKBIT.txt というファイル名の脅迫状が追加されました。

このランサムウェアは、コマンドライン引数の受け取りや、自動実行を開始するなどのさまざまな機能を備えています。デフォルトでは、暗号化ルーチンで AES-256 (Advanced Encryption Standard 256-bits)を使用して被害者のデバイスを暗号化し、幅広いタイプのファイルに影響を与えます。

さらに、マルチスレッド処理の手法を利用して、暗号化の高速化と効率化を実現します。

SHA-256

MD5

9107be160f7b639d68fe3670de58ed254d81de6aec9a41ad58d91aa814a247ff

9880fae6551d1e9ee921f39751a6f3c0

ファイル名 該当なし
ファイルサイズ 5,385,216 バイト
ファイルタイプ X64 PE
コンパイル日時: Sat Feb 11 17:10:53 2023

コマンドラインでマルウェアを実行する場合、以下に示す複数のオプション引数を指定できます。
 
図 2:DarkBit のコマンドラインオプション
 
引数 説明
-all タイムアウトカウンタを使用せず、すべてを連続して実行する
-domain (string) ドメイン
-force ブラックリストに登録されたコンピューターを強制する
-list (string) リスト
-nomutex ミューテックスをチェックしない
-noransom 拡散のみ実行し、暗号化を行わない
-password (string) パスワード
-path (string) パス
-t (int) スレッド数(デフォルトは -1)
-username (string) ユーザー名


実行すると、マルウェアは vssadmin.exe を呼び出します。これは、ローカライズされた Windows® のシャドウコピー管理ツールです。

マルウェアは次に、被害組織がデータ回復を実行できないようにするために、以下のコマンドを実行してシャドウコピーを削除します。

vssadmin.exe delete shadow /all /Quiet

ファイル暗号化プロセスでは、マルウェアがホワイトリストに登録していないファイル拡張子に、一見ランダムな名前とファイル拡張子 .Darkbit を付加します。このファイル拡張子は、暗号化されたことがわかるよう、影響を受けるファイル全てに付加されます。

図 3:DarkBit で暗号化されたファイル
 
また、ファイルの暗号化が完了すると、暗号化したコードの末尾に文字列「DARKBIT_ENCRYPTED_FILES」を付加します。
 
図 4:暗号化ファイルの内容
 
DarkBit ランサムウェアのファイルタイプ除外リスト
msilog log ldf lock theme msi sys
wpx cpl adv msc scr key ico
dll hta deskthemepack nomedia msu rtp msp
idx ani 386 Diagcfg bin mod ics
com hlp spl nls cab diagpkg icl
ocx rom prf themepack msstyles icns mpa
drv cur diagcab exe cmd shs Darkbit


DarkBit のファイル固有の除外リスト

Thumbs.db Desktop.ini
Darkbit.jpg Recovery_darkbit.txt
システムボリューム情報  

マルウェアは、25 MBを超えるサイズのファイルを暗号化する場合、それらのファイルを構成に従い(対象ファイルのサイズに応じた)特定のサイズのパーツに分割してから、各パートを暗号化します。
 
最大ファイルサイズ(MB) パート数 パートサイズ(バイト)
1,000 2 12,000
4,000 3 10,000
7,000 2 20,000
11,000 3 30,000
51,000 5 30,000
1,000,000 3 1,000,000
5,000,000 5 1,000,000
6,000,000 20 10,000,000


ネットワークインフラストラクチャ

DarkBit グループは、TOR ネットワークにアクセス可能な .onion ページを用意しています。DarkBit ロゴの下には「Against any kind of racism, fascism and apartheid,(あらゆる人種差別、ファシズム、アパルトヘイトに対抗する)」という挑発的な小見出しがあり、DarkBit がハクティビストグループである可能性を匂わせています。脅迫状はこのサイトのアドレスを記載して、被害者に「サポート」を申し出ています。

URL
hxxp://iw6v2p3cruy7tqfup3yl4dgt4pfibfa3ai4zgnu5df2q3hus3lm7c7ad[.]onion/support
図 5:DarkBit の「サポート」ページ
 
最初の攻撃から 48 時間後に、ランサムウェアグループはさらなる脅迫手段として 30% (24 BTC)のペナルティを追加で要求し、指定した金額を速やかに支払うよう大学に圧力をかけました。
 
図 6:被害者の支払い情報ページ
 
また、DarkBit グループは Telegram アカウントを持っており、その最後に反イスラエルの言葉を並べ、大学に対するハッキングを自慢しています。
 
図 7:DarkBit ランサムウェアグループの Telegram ページ
 

DarkBit は、Twitter ページ(ハンドルネーム (@)DarkBitTW)でも脅迫状と同様の政治的メッセージを発信しており、ハッシュタグ「#HackForGood」を打ち出しています。  

このアカウントは、2 月 12 日に「ハイテク企業への親切なアドバイス:これからは従業員、特にコンピューターの専門家を解雇するときはもっと慎重に判断しよう。#DarkBit」とツイートしており、脅威アクターの動機について一層の手がかりを与えています。
 

図 8:DarkBit の Twitter ページ
 

標的

図 9:DarkBit の標的
 

本記事執筆時点では、この新しいグループの標的として明らかになっているのは、テクニオン - イスラエル工科大学のみです。ただし、DarkBit が被害者とのやり取りや支払いを容易にするためのサポートサイトを設置していること、そして見たところ政治的な動機を持っていることを併せて考えると、近い将来イスラエルで新しい標的が見つかる可能性があります。

アトリビューション

この攻撃の背景にある政治的テーマや、脅威グループの Web ページに掲載されている政治的および制度的な発言を考えると、金銭的な動機以外の目的がある可能性もあります。グループの Twitter ページには技術者の解雇に関する記述があり、これが単なる誤誘導を意図したものでない限り、不満を持つ 1 人または複数の従業員がこのランサムウェア攻撃の背後にいる可能性が考えられます。

BlackBerry がコードを解析した結果からは、このグループを公に知られているランサムウェアグループと関連付けることはできませんでした。

まとめ

ランサムウェアの目的は、もはや金銭的な利益ではありません。BlackBerry は、ランサムウェアが地政学上の武器として使用される傾向の高まりに注目しています。この傾向は、数年前にウクライナで始まりました。現在はイスラエルにおいて、同国最大の大学の 1 つに対する攻撃で見ることができます。時間の経過とともに、地政学的な動機によるランサムウェア攻撃がさらに増えることが予想されます。

ランサムウェアは展開すると即座にシステムを妨害し、評判の悪化や金銭的な損害をもたらすため、脅威アクターは被害者の活動を鈍らせる凶器としてランサムウェアを使用します。また、身代金が支払われた場合、脅威者には金銭的な利益ももたらされます。最後に、ランサムウェアのサポートページや各種のサイトに表示されるメッセージは、脅威アクターが独自の主張を込めた地政学的プロパガンダを拡散するための公の場となります。

付録 1 - 侵入の痕跡(IOC)

ハッシュ(md5、sha-256)

9880fae6551d1e9ee921f39751a6f3c0

9107be160f7b639d68fe3670de58ed254d81de6aec9a41ad58d91aa814a247ff

脅迫状 recovery_darkbit.txt
システムのミューテックス Global\dbdbdbdb
ネットワークインジケータ

hxxp://iw6v2p3cruy7tqfup3yl4dgt4pfibfa3ai4zgnu5df2q3hus3lm7c7ad[.]onion/support

TOX ID : AB33BC51AFAC64D98226826E70B483593C81CB22E6A3B504F7A75348C38C862F00042F5245AC

付録 2 - 適用された対策

YARA ルール

rule Darkbit_Ransomware {
meta:
        description = "Yara rule based of the DarkBit Ransomware code"
        author = "The BlackBerry Research & Intelligence team"
        date = "2023-02-14"
        last_modified = "2023-02-15"
        distribution = "TLP:White"
        version = "1.0"
        sha256 = "9107be160f7b639d68fe3670de58ed254d81de6aec9a41ad58d91aa814a247ff"
        md5 = "9880fae6551d1e9ee921f39751a6f3c0"

strings:
        $4538285_63 = { 9? 9? 9? 48 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 ?? ?? ?? ?? 48 ?? ?? ?? ?? C6 ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? 66 ?? E8 ?? ?? ?? ?? 48 ?? ?? 84 ?? 0F 85 }
        $5891110_63 = { 48 ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? 4C ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 4C ?? ?? ?? 48 ?? ?? ?? 48 ?? ?? 0F 1F ?? ?? ?? 48 ?? ?? 0F 8E }
        $7545077_63 = { 48 ?? ?? ?? ?? ?? ?? 0F 1F ?? ?? E8 ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 ?? ?? ?? ?? 48 ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 ?? ?? 0F 84 }
        $5903045_63 = { 48 ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? 48 ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? 4C ?? ?? 0F 1F ?? ?? ?? 48 ?? ?? 73 }
        $5127463_63 = { 48 ?? ?? ?? ?? 48 ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? 4C ?? ?? E8 ?? ?? ?? ?? 48 ?? ?? ?? ?? 4C ?? ?? ?? ?? 4C ?? ?? 0F 9E ?? 48 ?? ?? ?? ?? ?? ?? ?? 48 }
        $6072198_63 = { 48 ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? 48 ?? ?? ?? ?? 9? 48 ?? ?? 0F 84 }
        $4935722_63 = { 48 ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 ?? 0F 85 }
        $4976425_63 = { 41 ?? ?? ?? ?? 0F 11 ?? ?? ?? ?? ?? ?? 4F ?? ?? ?? 4D ?? ?? ?? 41 ?? ?? ?? 0F 11 ?? ?? ?? ?? ?? ?? 4F ?? ?? ?? 4D ?? ?? ?? 41 ?? ?? ?? 0F 11 ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? ?? 74 }
        $4527589_63 = { 48 ?? ?? ?? ?? 48 ?? ?? 0F B7 ?? ?? ?? 0F B7 ?? ?? ?? 4C ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 4C ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 4C ?? ?? ?? ?? ?? ?? ?? 9? 48 ?? ?? 7D }
        $4716056_63 = { 0F B6 ?? ?? ?? 0F B6 ?? 48 ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? 48 ?? ?? 48 ?? ?? 48 ?? ?? ?? ?? 48 ?? ?? 48 ?? ?? ?? 66 ?? ?? ?? ?? B8 ?? ?? ?? ?? 48 ?? ?? ?? ?? 48 ?? ?? ?? C3 }
        $5798030_63 = { 48 ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 0F 1F ?? ?? ?? E8 ?? ?? ?? ?? 48 ?? ?? ?? ?? 48 ?? ?? ?? ?? 9? 48 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 ?? ?? ?? ?? 48 ?? ?? ?? 83 ?? ?? ?? ?? ?? ?? 75 }
        $6047533_63 = { 0F B6 ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 ?? ?? ?? ?? 48 ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 44 ?? ?? ?? ?? ?? 48 ?? ?? 48 }
        $7558727_62 = { 31 ?? 48 ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 1F ?? 48 ?? ?? 0F 84 }
        $4266979_62 = { 48 ?? ?? ?? 48 ?? ?? 8B ?? ?? 48 ?? ?? ?? ?? 48 ?? ?? FF D? 48 ?? ?? ?? ?? 0F B6 ?? ?? 83 ?? ?? 88 ?? ?? 0F B6 ?? ?? BE ?? ?? ?? ?? 48 ?? ?? 48 ?? ?? ?? 48 ?? ?? 48 ?? ?? ?? ?? 66 ?? 74 }
        $5892010_62 = { 4B ?? ?? ?? 49 ?? ?? ?? 49 ?? ?? ?? ?? 49 ?? ?? ?? ?? 8B ?? ?? ?? ?? ?? ?? 4C ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? 4C ?? ?? ?? ?? ?? ?? ?? 49 ?? ?? 0F 8F }
        $5132165_62 = { 48 ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? 9? E8 ?? ?? ?? ?? 48 ?? ?? ?? ?? 4C ?? ?? ?? ?? 4C ?? ?? 0F 9E ?? 48 ?? ?? ?? ?? 48 ?? ?? 48 ?? ?? ?? ?? EB }
        $6850214_62 = { 44 ?? ?? ?? ?? ?? 8B ?? 89 ?? ?? ?? 8B ?? ?? 89 ?? ?? ?? 8B ?? ?? 89 ?? ?? ?? 8B ?? ?? 89 ?? ?? ?? 0F 10 ?? ?? ?? 0F 11 ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? C3 }
        $4976188_62 = { 41 ?? ?? ?? ?? 0F 11 ?? ?? ?? ?? ?? ?? 4B ?? ?? ?? 48 ?? ?? ?? 0F 10 ?? 0F 11 ?? ?? ?? ?? ?? ?? 4B ?? ?? ?? 48 ?? ?? ?? 0F 10 ?? 0F 11 ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? ?? 0F 85 }
        $4610524_62 = { 48 ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 ?? ?? 84 ?? 0F 85 }
        $6072616_61 = { 48 ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? 0F 1F ?? E8 ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? 48 ?? ?? ?? ?? 66 ?? ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? 0F 84 }
        $4442442_61 = { 4C ?? ?? ?? ?? 4C ?? ?? ?? ?? ?? ?? 44 ?? ?? ?? ?? ?? ?? ?? 45 ?? ?? ?? 41 ?? ?? ?? 41 ?? ?? ?? 47 ?? ?? ?? 45 ?? ?? ?? 41 ?? ?? ?? 44 ?? ?? ?? ?? 4C ?? ?? ?? ?? ?? ?? 45 ?? ?? 0F 8E }
        $4448822_61 = { 48 ?? ?? ?? ?? 0F 1F ?? ?? ?? E8 ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? 8B ?? 89 ?? C1 ?? ?? C1 ?? ?? 01 ?? C1 ?? ?? 41 ?? ?? C1 ?? ?? 29 ?? 85 ?? 0F 8C }
        $4726213_61 = { 48 ?? ?? ?? ?? 48 ?? ?? ?? ?? 40 ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 ?? ?? 4C ?? ?? 4C ?? ?? E8 ?? ?? ?? ?? 4C ?? ?? ?? 48 ?? ?? ?? ?? 48 ?? ?? ?? ?? 0F B6 ?? ?? ?? 4C ?? ?? ?? ?? 48 }
        $5127401_61 = { 48 ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 ?? ?? ?? ?? 4C ?? ?? ?? ?? 4C ?? ?? 0F 9E ?? 48 ?? ?? ?? ?? 48 ?? ?? 48 ?? ?? ?? ?? EB }
        $4357770_61 = { 48 ?? ?? ?? 48 ?? ?? ?? ?? 48 ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? 0F 10 ?? ?? ?? ?? ?? 0F 11 ?? ?? ?? 0F 10 ?? ?? ?? ?? ?? 0F 11 ?? ?? ?? 31 ?? EB }
        $5046026_60 = { 48 ?? ?? ?? 48 ?? ?? ?? ?? 48 ?? ?? ?? ?? 48 ?? ?? ?? ?? 48 ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 ?? ?? FF D? 66 ?? 48 ?? ?? ?? 0F 85 }
        $6918301_60 = { 48 ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? 0F 10 ?? ?? ?? ?? ?? ?? 0F 11 ?? ?? 0F 10 ?? ?? ?? ?? ?? ?? 0F 11 ?? ?? 0F 10 ?? ?? ?? ?? ?? ?? 0F 11 ?? ?? 0F 10 ?? ?? ?? ?? ?? ?? 0F 11 ?? ?? EB }
        $5651196_60 = { 0F 1F ?? ?? E8 ?? ?? ?? ?? 9? 66 ?? ?? ?? ?? ?? ?? ?? ?? ?? C6 ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? 66 ?? ?? ?? ?? ?? ?? ?? ?? ?? C6 ?? ?? ?? ?? ?? ?? ?? 31 ?? EB }
        $5735857_60 = { E8 ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 0F 1F ?? ?? E8 ?? ?? ?? ?? 83 ?? ?? ?? ?? ?? ?? 75 }
        $5058799_60 = { 48 ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 0F BA ?? ?? 73 }
        $4987306_60 = { 48 ?? ?? ?? ?? 48 ?? ?? ?? ?? 48 ?? ?? ?? 48 ?? ?? ?? ?? 48 ?? ?? ?? ?? 48 ?? ?? ?? ?? 48 ?? ?? ?? 81 E? ?? ?? ?? ?? 44 ?? ?? ?? ?? 41 ?? ?? ?? 4C ?? ?? 9? 0F B6 ?? 40 ?? ?? ?? 75 }
        $4491881_60 = { 48 ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? 48 ?? ?? ?? 48 ?? ?? ?? 48 ?? ?? ?? ?? 66 ?? ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? 0F 82 }
        $5384124_60 = { 0F 1F ?? ?? E8 ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 ?? ?? ?? ?? ?? ?? 75 }
        $6212553_60 = { 48 ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 9? 48 ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 0F 1F ?? ?? 48 ?? ?? 0F 84 }
        $5991938_60 = { 4C ?? ?? 48 ?? ?? E8 ?? ?? ?? ?? 48 ?? ?? 0F 94 ?? 48 ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 4C ?? ?? ?? ?? ?? ?? ?? 4C ?? ?? ?? ?? ?? ?? ?? 89 ?? 48 }
        $4975050_60 = { 48 ?? ?? ?? ?? ?? ?? ?? 0F 10 ?? 0F 11 ?? ?? ?? ?? ?? ?? 0F 10 ?? ?? 0F 11 ?? ?? ?? ?? ?? ?? 0F 10 ?? ?? 0F 11 ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 0F 1F ?? 48 ?? ?? ?? 0F 8F }
        $7558357_59 = { 31 ?? 48 ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 ?? ?? 0F 84 }
        $5152831_59 = { 48 ?? ?? ?? ?? 48 ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? 48 ?? ?? 48 ?? ?? 0F 1F ?? ?? ?? E8 ?? ?? ?? ?? 48 ?? ?? ?? 48 ?? ?? ?? ?? 48 ?? ?? ?? ?? 48 ?? ?? 48 ?? ?? 48 }
        $4347563_59 = { 48 ?? ?? ?? ?? 66 ?? ?? ?? 48 ?? ?? 48 ?? ?? 48 ?? ?? 9? 9? 48 ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? 48 ?? ?? 48 ?? ?? ?? 66 ?? ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? 0F 83 }
        $6022661_59 = { 48 ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 0F 1F ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 89 ?? 48 }
        $6139378_59 = { 88 ?? ?? ?? 44 ?? ?? ?? ?? ?? C6 ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? FF D? 48 ?? ?? ?? ?? 0F B6 ?? ?? ?? 48 ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? C3 }

    condition:
        uint16(0) == 0x5A4D and filesize < 10MB and all of them
}

The BlackBerry Research and Intelligence Team

About The BlackBerry Research and Intelligence Team

BlackBerry の Research and Intelligence Team は、新たに生じている脅威と持続的な脅威を検証し、セキュリティ担当者とその所属企業のために、インテリジェンス解析を提供しています。