プラグインをダウンロードして実行するマルウエアTSCookie (2018-03-01) | JPCERTコーディネーションセンター(JPCERT/CC)
2018年1月17日頃、文部科学省に偽装した不正なメールが送信されていたことが一部で確認されています[1]。このメールにはURLが記載されており、アクセスするとマルウエアTSCookieがダウンロードされました。(トレンドマイクロ社はこのマルウエアをPLEADと呼んでいます[2]。PLEADは、攻撃キャンペーン名として使われることもあるため、ここではこのマルウエアをTSCookieと記載します。)TSCookieは、2015年頃から確認されており、BlackTech[3]と呼ばれる攻撃グループとの関連が疑われています。JPCERT/CCではこのマルウエアを使用した攻撃グループが、過去に日本の組織をターゲットに標的型攻撃を行っていることを確認しています。 今回は、TSCookieの詳細について紹介します。 TSCookieの概要 図1は、TSCookie実行時の動作の流れを示しています。 図
攻撃グループBlackTechが使うマルウエアPLEADダウンローダ (2018-05-28) - JPCERTコーディネーションセンター(JPCERT/CC)
前回の分析センターだより では攻撃グループBlackTech[1]が使用していると考えられるマルウエアTSCookie について紹介しました。この攻撃グループはその他にもPLEADと呼ばれるマルウエアを使用することが分かっています。(PLEADは複数のマルウエア種別名(TSCookieを含む)とそのマルウエアを使用した攻撃キャンペーン名として使用されています[2]。ここではPLEADをTSCookieとは異なるマルウエア種別名として使用します。)PLEADにはRATタイプと、ダウンローダタイプ(以降、PLEADダウンローダと記載する)が存在します。RATタイプは複数のコマンドを持ち、命令を受信することによって動作します。(詳しくは、LAC社が公開しているブログ[3]の「攻撃手口3」をご覧ください。)PLEADダウンローダは、TSCookieと同じくモジュールをダウンロードし、メモリ上で実行
Certificates stolen from Taiwanese tech-companies misused in Plead malware campaign
Award-winning news, views, and insight from the ESET security community Certificates stolen from Taiwanese tech-companies misused in Plead malware campaign D-Link and Changing Information Technologies code-signing certificates stolen and abused by highly skilled cyberespionage group focused on East Asia, particularly Taiwan ESET researchers have discovered a new malware campaign misusing stolen di
防衛装備に関連した調査報告書を偽装した攻撃 | セキュリティ研究センターブログ
先週弊社では、防衛装備に関連した調査報告を偽装したドキュメントを使った攻撃を観測しました。皆様に注意喚起を促す目的で、調査の一部を共有したいと思います。 防衛装備に関連した調査報告を偽装したドキュメントは、図1のように、WORDやPDFを偽装した二重拡張子のファイルで、おそらくメールに添付されたかたちで標的企業に配送されたと見られます。 図1、WORDやPDFで防衛関連の調査報告書を偽装したEXEファイル SHA256 (PDF偽装ファイル) : dc7521c00ec2534cf494c0263ddf67ea4ba9915eb17bdc0b3ebe9e840ec63643 SHA256 (DOC偽装ファイル) : 42da51b69bd6625244921a4eef9a2a10153e012a3213e8e9877cf831aea3eced [動作概要] ファイルを実行した場合、WORD
「BlackTech」によるサイバー諜報活動の足跡を追う |
サイバー攻撃者集団「BlackTech(ブラックテック)」は、台湾を中心とした東アジア地域でサイバー諜報活動する攻撃者集団で、日本や香港での活動も確認されています。彼らが利用するコマンド&コントロール(C&C)サーバの Mutex やドメイン名から、BlackTech の目的は標的者が所有する技術の窃取にあると推測されています。 BlackTech が利用する手法などの変化を追跡したところ、別々のサイバー諜報活動だと思われていた、「PLEAD(プリード)」、「Shrouded Crossbow(シュラウディッド・クロスボウ)」、「Waterbear(ウォーターベア)」の間に、ある共通点が浮かび上がってきました。 本記事では、各攻撃キャンペーンの手口を比較し、利用されたツールを解析した結果判明した3つの攻撃キャンペーンが同一の攻撃集団によって実行されたことを示す共通点について解説します。 ■
「ChChes」を操る標的型サイバー攻撃キャンペーン「ChessMaster」による諜報活動の手口 | トレンドマイクロ セキュリティブログ
ホーム » サイバー犯罪 » フィッシング » 「ChChes」を操る標的型サイバー攻撃キャンペーン「ChessMaster」による諜報活動の手口 標的型サイバー攻撃では、巧妙なソーシャルエンジニアリングの利用、情報収集、脆弱性の利用、ネットワーク内での情報探索のように、目的に応じてさまざまな手法が利用されます。チェスのプレイヤーが持ち駒を駆使して戦術を組み立てるように、攻撃者はそれらの手法を組み合わせて自身の攻撃に利用します。 こうした攻撃の一例が、標的型サイバー攻撃キャンペーン「ChessMaster(チェスマスター)」です。この攻撃キャンペーンでは、日本の学術界、テクノロジー系企業、報道関連企業、「Managed Services Provider(マネージド・サービス・プロバイダ、MSP)」、政府機関などが標的となっており、標的型メールに添付されたマルウェア
OilRig Uses ISMDoor Variant; Possibly Linked to Greenbug Threat Group
OilRig Uses ISMDoor Variant; Possibly Linked to Greenbug Threat Group Unit 42 has discovered activity involving threat actors responsible for the OilRig campaign with a potential link to a threat group known as GreenBug. Symantec first reported on this group back in January 2017, detailing their operations and using a custom information stealing Trojan called ISMDoor. In July 2017, we observed an
“Tick” Group Continues Attacks
By Kaoru Hayashi July 24, 2017 at 6:00 PM Category: Unit 42 Tags: 9002, Daserf, Datper, Gh0st, HomamDownloader, JAPAN KOREA, Minzen, NamelessHdoor, Tick This post is also available in: 日本語 (Japanese) The “Tick” group has conducted cyber espionage attacks against organizations in the Republic of Korea and Japan for several years. The group focuses on companies that have intellectual property or sen
APT10 (MenuPass Group): New Tools, Global Campaign Latest Manifestation of Longstanding Threat « Threat Research Blog | FireEye Inc
APT10 (MenuPass Group): New Tools, Global Campaign Latest Manifestation of Longstanding Threat Written by: FireEye iSIGHT Intelligence APT10 Background APT10 (MenuPass Group) is a Chinese cyber espionage group that FireEye has tracked since 2009. They have historically targeted construction and engineering, aerospace, and telecom firms, and governments in the United States, Europe, and Japan. We b
Dissecting One of APT29’s Fileless WMI and PowerShell Backdoors (POSHSPY) « Threat Research Blog | FireEye Inc
Dissecting One of APT29's Fileless WMI and PowerShell Backdoors (POSHSPY) Written by: Matthew Dunwoody Mandiant has observed APT29 using a stealthy backdoor that we call POSHSPY. POSHSPY leverages two of the tools the group frequently uses: PowerShell and Windows Management Instrumentation (WMI). In the investigations Mandiant has conducted, it appeared that APT29 deployed POSHSPY as a secondary b
Operation Cloud Hopper
What is Operation Cloud Hopper? Since late 2016, we’ve worked closely with BAE Systems, the UK’s National Cyber Security Centre (NCSC) and other members of the security committee to uncover and disrupt what’s thought to be one of the largest ever sustained global cyber espionage campaigns. This operation is referred to as ‘Operation Cloud Hopper’. Who’s responsible? The threat actor behind the cam
攻撃者グループmenuPassとマルウェア「Poison Ivy、PlugX、ChChes」の関連性 | LAC WATCH
2016年10月頃から実在する組織や人物になりすまし、国内の組織に対して標的型メールが送信されていることが、JPCERT/CCより報告されました。 Cookieヘッダーを用いてC&CサーバとやりとりするマルウエアChChes(2017-01-26) PowerSploitを悪用して感染するマルウエア(2017-02-10) メールの添付ファイルはzipファイルであり、解凍するとOffice文章ファイルにアイコンを偽装した悪性の実行ファイル(以降、アイコン偽装の実行ファイル)またはショートカットファイル(.lnk)が出てきます(図1)。いずれのファイルも実行するとChChesと呼ばれるボット機能を有するマルウェアに感染します。 図1アイコン偽装の実行ファイルとショートカットファイルの一例 弊社サイバー救急センターでも、この標的型メールに関して数件問い合わせがあり、マルウェアを解析しつつ、攻撃
menuPass Returns with New Malware and New Attacks Against Japanese Academics and Organizations
This malware is provided with an icon that appears to be that of a Microsoft Word document, as we can see in the image below. Figure 4. Icon used for ChChes Additionally, we discovered that the samples identified in attacks against Japanese organizations were digitally signed using the certificate originally used by the Italian-based company, HackingTeam. Readers may recall that HackingTeam was co
Emdiviを使う攻撃者の素性 | セキュリティ研究センターブログ
世間で大きく報道されているマルウェアEmdivi(エムディヴィ)やCloudyOmega(クラウディオメガ)に関連する件において、被害組織に対する非難の報道が多い一方で、本当に非難するべき対象は攻撃者であり、攻撃者に関する情報がほとんど報道されていないように見受けられます。この状況を少しでも変えるべく、弊社が把握している情報を、差支えのない範囲で共有させて頂きます。 なお、この記事は、Emdiviと呼ばれるRAT(Remote Access Tool)に分類されるマルウェアに関する内容であり、今年1月の記事の続報であります。 弊社が今までに捕獲したEmdiviのマルウェア検体、およびそれらの接続先であるC2サーバのホスト名とIPアドレスの相関をまとめたものが図1の通りです。黄色がマルウェアのハッシュ(ドロッパおよびRAT本体)、青色がC2サーバのホスト名、緑色がC2サーバのIPアドレスを示
The Chronicles of the Hellsing APT: the Empire Strikes Back
https://www.youtube.com/watch?v=gvAUfp4iDw4 Introduction One of the most active APT groups in Asia, and especially around the South China Sea area is “Naikon”. Naikon plays a key part in our story, but the focus of this report is on another threat actor entirely; one who came to our attention when they hit back at a Naikon attack. Naikon is known for its custom backdoor, called RARSTONE, which our
The Icefog APT Hits US Targets With Java Backdoor
In September 2013, we published our extensive analysis of Icefog, an APT campaign that focused on the supply chain – targeting government institutions, military contractors, maritime and ship-building groups. Icefog, also known as the “Dagger Panda” by Crowdstrike’s naming convention, infected targets mainly in South Korea and Japan. You can find our Icefog APT analysis and detailed report here. S
The Darkhotel APT
The Darkhotel APT – Kaspersky Lab Research Technical Appendix Much like Crouching Yeti, the Darkhotel APT is an unusually murky, long standing and well-resourced threat actor exhibiting a strange combination of characteristics. This APT precisely drives its campaigns by spear-phishing targets with highly advanced Flash zero-day exploits that effectively evade the latest Windows and Adobe defenses,
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
El Macheteマルウェアがラテンアメリカを切り裂く | Cylance
Winnti Abuses GitHub for C&C Communications - TrendLabs Security Intelligence Blog
The CozyDuke APT | Securelist
