20160204: CVE-2014-4114 Sandworm is not a WORM
概要
Cyphort labs team found that the exploit payload involved in this case is a PowerPoint Open XML Slide Show file named spiski_deputatov_done.ppsx. Translated from Russian this name means “complete list of Members of Parliament”. This seems related to the upcoming Ukrainian Parliamentary Elections that are scheduled for October 26, 2014. The PPS file contains an embedded OLE object that allows it to download and execute a remote file. Once the PPS file is opened, it will download the two files then executes slides.inf. Slides.inf then renames slide1.gif to slide1.gif.exe and creates a RunOnce entry to execute it at the next system startup. Slide1.gif.exe is a variant of BlackEnergy Trojan, a known backdoor, which has been seen in the wild at least since 2010.
Created: 2026-02-23
Indicators
Indicatorsは見つかっていない。
類似Pulses
このPulseに関連する脅威アクター (事実ベース)
Score: 3.74
Matched TTPs:
- T1588.001 - Malware
- T1622 - Debugger Evasion
MITREへのリンク →
Score: 13.86
Matched TTPs:
- T1588.001 - Malware
- T1001 - Data Obfuscation
- T1622 - Debugger Evasion
- T1665 - Hide Infrastructure
- T1003.003 - NTDS
MITREへのリンク →
Score: 3.74
Matched TTPs:
- T1588.001 - Malware
- T1622 - Debugger Evasion
MITREへのリンク →
Score: 3.74
Matched TTPs:
- T1588.001 - Malware
- T1622 - Debugger Evasion
MITREへのリンク →
Score: 5.38
Matched TTPs:
- T1588.001 - Malware
- T1174 - Password Filter DLL
MITREへのリンク →
Score: 3.74
Matched TTPs:
- T1588.001 - Malware
- T1622 - Debugger Evasion
MITREへのリンク →
Score: 6.49
Matched TTPs:
- T1588.001 - Malware
- T1128 - Netsh Helper DLL
- T1622 - Debugger Evasion
MITREへのリンク →
Score: 3.74
Matched TTPs:
- T1588.001 - Malware
- T1622 - Debugger Evasion
MITREへのリンク →
Score: 6.23
Matched TTPs:
- T1588.001 - Malware
- T1547.015 - Login Items
MITREへのリンク →
Score: 6.23
Matched TTPs:
- T1588.001 - Malware
- T1547.015 - Login Items
MITREへのリンク →
Score: 7.36
Matched TTPs:
- T1588.001 - Malware
- T1578.002 - Create Cloud Instance
- T1622 - Debugger Evasion
MITREへのリンク →
Score: 8.08
Matched TTPs:
- T1588.001 - Malware
- T1665 - Hide Infrastructure
- T1546.017 - Udev Rules
MITREへのリンク →
Score: 13.48
Matched TTPs:
- T1588.001 - Malware
- T1174 - Password Filter DLL
- T1622 - Debugger Evasion
- T1665 - Hide Infrastructure
- T1216 - System Script Proxy Execution
MITREへのリンク →
Score: 3.74
Matched TTPs:
- T1588.001 - Malware
- T1622 - Debugger Evasion
MITREへのリンク →
Score: 6.30
Matched TTPs:
- T1001 - Data Obfuscation
- T1546.017 - Udev Rules
MITREへのリンク →
Score: 7.63
Matched TTPs:
- T1001 - Data Obfuscation
- T1622 - Debugger Evasion
- T1665 - Hide Infrastructure
MITREへのリンク →
Score: 4.80
Matched TTPs:
- T1001 - Data Obfuscation
- T1622 - Debugger Evasion
MITREへのリンク →
Score: 9.05
Matched TTPs:
- T1001 - Data Obfuscation
- T1128 - Netsh Helper DLL
- T1546.017 - Udev Rules
MITREへのリンク →
Score: 8.08
Matched TTPs:
- T1001 - Data Obfuscation
- T1174 - Password Filter DLL
- T1622 - Debugger Evasion
MITREへのリンク →
Score: 4.54
Matched TTPs:
- T1548.004 - Elevated Execution with Prompt
MITREへのリンク →
Score: 3.29
Matched TTPs:
- T1174 - Password Filter DLL
MITREへのリンク →
Score: 11.44
Matched TTPs:
- T1174 - Password Filter DLL
- T1059.005 - Visual Basic
- T1216 - System Script Proxy Execution
MITREへのリンク →
Score: 3.29
Matched TTPs:
- T1174 - Password Filter DLL
MITREへのリンク →
Score: 5.58
Matched TTPs:
- T1128 - Netsh Helper DLL
- T1665 - Hide Infrastructure
MITREへのリンク →
Score: 12.55
Matched TTPs:
- T1128 - Netsh Helper DLL
- T1622 - Debugger Evasion
- T1216 - System Script Proxy Execution
- T1094 - Custom Command and Control Protocol
MITREへのリンク →
Score: 4.39
Matched TTPs:
- T1128 - Netsh Helper DLL
- T1622 - Debugger Evasion
MITREへのリンク →
Score: 4.39
Matched TTPs:
- T1128 - Netsh Helper DLL
- T1622 - Debugger Evasion
MITREへのリンク →
Score: 4.39
Matched TTPs:
- T1128 - Netsh Helper DLL
- T1622 - Debugger Evasion
MITREへのリンク →
Score: 3.62
Matched TTPs:
- T1578.002 - Create Cloud Instance
MITREへのリンク →
Score: 5.27
Matched TTPs:
- T1578.002 - Create Cloud Instance
- T1622 - Debugger Evasion
MITREへのリンク →
Score: 5.27
Matched TTPs:
- T1578.002 - Create Cloud Instance
- T1622 - Debugger Evasion
MITREへのリンク →
Score: 4.54
Matched TTPs:
- T1555.004 - Windows Credential Manager
MITREへのリンク →
Score: 4.13
Matched TTPs:
- T1130 - Install Root Certificate
MITREへのリンク →
Score: 4.13
Matched TTPs:
- T1130 - Install Root Certificate
MITREへのリンク →
Score: 5.49
Matched TTPs:
- T1498 - Network Denial of Service
- T1622 - Debugger Evasion
MITREへのリンク →
Score: 5.49
Matched TTPs:
- T1498 - Network Denial of Service
- T1622 - Debugger Evasion
MITREへのリンク →
Score: 3.84
Matched TTPs:
- T1498 - Network Denial of Service
MITREへのリンク →
Score: 4.48
Matched TTPs:
- T1622 - Debugger Evasion
- T1665 - Hide Infrastructure
MITREへのリンク →
Score: 4.80
Matched TTPs:
- T1622 - Debugger Evasion
- T1546.017 - Udev Rules
MITREへのリンク →
Score: 4.48
Matched TTPs:
- T1622 - Debugger Evasion
- T1665 - Hide Infrastructure
MITREへのリンク →
Score: 3.62
Matched TTPs:
- T1216 - System Script Proxy Execution
MITREへのリンク →
このPulseに関連する脅威アクター (推論ベース)
Score: 0.79
Matched TTPs:
- T1622 - Debugger Evasion
- T1665 - Hide Infrastructure
- T1588.001 - Malware
- T1003.003 - NTDS
- T1001 - Data Obfuscation
MITREへのリンク →
Score: 0.77
Matched TTPs:
- T1622 - Debugger Evasion
- T1665 - Hide Infrastructure
- T1588.001 - Malware
- T1216 - System Script Proxy Execution
- T1174 - Password Filter DLL
MITREへのリンク →
Score: 0.73
Matched TTPs:
- T1094 - Custom Command and Control Protocol
- T1622 - Debugger Evasion
- T1128 - Netsh Helper DLL
- T1216 - System Script Proxy Execution
MITREへのリンク →
Score: 0.66
Matched TTPs:
- T1174 - Password Filter DLL
- T1059.005 - Visual Basic
- T1216 - System Script Proxy Execution
MITREへのリンク →
Related CVEs
Pulse – 脅威アクター グラフ
← Pulse一覧に戻る
Trusted Design