https://thehackernews.com/2022/01/emotet-now-using-unconventional-ip.html
Emotetマルウェアボットネットの展開を含むソーシャルエンジニアリングキャンペーンは、セキュリティソリューションによる検出を回避するために、「型破りな」IPアドレス形式を使用して初めて観察されました。
このドキュメントでは、悪意のある攻撃者によってマルウェアを配信するために繰り返し悪用されてきた機能であるExcel4.0マクロを使用しています。
有効にすると、マクロはカレットで難読化されたURLを呼び出し、ホストはIPアドレスの16進表現( 」h ^ tt ^ p ^:/ ^ / 0xc12a24f5 / cc.html」)を組み込んでHTMLアプリケーション(HTA )リモートホストからのコード。
「16進数と8進数のIPアドレスの型破りな使用は、パターンマッチングに依存する現在のソリューションを回避する結果になる可能性があります」とKenefick氏は述べています。
Emotetが従来とは異なるIPアドレス形式を使用して検出を回避するようになりました、noreply @ blogger.com(Ravie Lakshmanan)
security summary
コメント