Skip to main content
Mallory
Back to malware
Malware

PXDropper

Share:
For your environment

Hunt this family in your stack

Mallory pivots from this family to the IOCs, detections, and named campaigns that touch your stack, and pages you when something new lands.

Start free trial
MITRE ATT&CK

Techniques & procedures

7 distinct techniques documented for this family, organized by ATT&CK tactic.

Initial Access

1 technique
T1566.002Spearphishing LinkEvidence1
TacticInitial Access

攻撃はスピアフィッシングメールを起点としており、メール本文に記載されたGoogle Cloud Storageのリンクから、不正なファイルをダウンロードさせる手口が用いられていました。

Execution

3 techniques
T1059.003Windows Command ShellEvidence1
TacticExecution

LNKファイルは、Google Cloud StorageからPXDropperを取得するダウンローダとして動作します。ファイルの取得にはcurl.exeが使用されます。

T1106Native APIEvidence1
TacticExecution

このデバイスインタフェースを利用する主な目的は、セキュリティ製品の無効化(0x22E010 IOCTL)と、自分自身のプロセスおよびネットワーク通信の隠蔽(0x22E008 IOCTL)です。

T1204.002Malicious FileEvidence1
TacticExecution

当該リンクにアクセスすると、悪性のLNKファイルが含まれたZIPファイルがダウンロードされます。また、同種の攻撃キャンペーンでは、EXEファイルを含むZIPファイルやRARファイルがダウンロードされるケースに加え、リンクからEXEファイルを直接ダウンロードさせるケースも確認されています。

Persistence

1 technique
T1543.003Windows ServiceEvidence1
TacticsPersistencePrivilege Escalation

その後、ファイル名と同じ名称でWindowsサービスとして登録し、このサービスを起動します。... 「DevCfgCC.sys」というファイル名で永続化ディレクトリへ書き出し、OSの起動時に自動的に読み込まれるよう、システムにサービスとして登録します。

Privilege Escalation

1 technique
T1543.003Windows ServiceEvidence1
TacticsPersistencePrivilege Escalation

その後、ファイル名と同じ名称でWindowsサービスとして登録し、このサービスを起動します。... 「DevCfgCC.sys」というファイル名で永続化ディレクトリへ書き出し、OSの起動時に自動的に読み込まれるよう、システムにサービスとして登録します。

Stealth

2 techniques
T1027Obfuscated Files or InformationEvidence1
TacticStealth

マルウェア内部にハードコードされている暗号化された10FXRAT関連ファイル...を、Incremental XORを用いて復号します。

T1497Virtualization/Sandbox EvasionEvidence1
TacticsStealthDiscovery

このマルウェアは、初期動作として実行環境を確認する耐解析機能(Anti-Analysis)を備えています。... 合計スコアが80点(0x50)以上の場合に「解析環境」と断定して活動を停止する特徴があります。

Discovery

1 technique
T1497Virtualization/Sandbox EvasionEvidence1
TacticsStealthDiscovery

このマルウェアは、初期動作として実行環境を確認する耐解析機能(Anti-Analysis)を備えています。... 合計スコアが80点(0x50)以上の場合に「解析環境」と断定して活動を停止する特徴があります。

INDICATORS OF COMPROMISE

IOCs tracked for this family

12 indicators attributed across vendor reports, sandbox runs, and researcher write-ups. Full values are available in Mallory.

View more in app
Hashes
12 tracked

File hashes (MD5, SHA-1, SHA-256) from samples and reports.

TypeValueLatest sighting
hash.sha256●●●●●●●●●●●●View more in app1 day ago
hash.sha256●●●●●●●●●●●●View more in app1 day ago
hash.sha256●●●●●●●●●●●●View more in app1 day ago
hash.sha256●●●●●●●●●●●●View more in app1 day ago
hash.sha256●●●●●●●●●●●●View more in app1 day ago
hash.sha256●●●●●●●●●●●●View more in app1 day ago
ACTIVITY FEED

Recent activity

1 sources tracked across advisories, community write-ups, and news. New activity surfaces here as Mallory finds it.

1 SOURCESView more in app
What this page doesn’t show

The version that knows your environment.

This page is what’s public. Mallory adds the parts that aren’t: which of your assets match these IOCs, which detections are missing, which campaigns to expect next, and what to do in the next 30 minutes.
Start free trial
IOC matching12

Match every observed IP, domain, and hash against your live telemetry.

Threat actor attribution

Named campaigns wielding this family, with evidence pinned to each claim.

Exploited vulnerabilities

CVEs this family uses for access and lateral movement.

Detection signatures

YARA, Sigma, Snort, and vendor rules, auto-deployed to your SIEM.

MITRE ATT&CK mapping7

Every documented technique, ranked by evidence weight.

Researcher chatter

Reddit, Mastodon, and CTI community discussion around this family.