読者です 読者をやめる 読者になる 読者になる

TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する個人の調査・研究記録

JTBの情報漏えいで使われたマルウェア「PlugX」とは何か?

PlugXの実行モジュール作成、操作ツール コマンドプロンプト画面 PlugXを使うAPTグループ(日本を攻撃しているグループ) 出典: https://news.mynavi.jp/itsearch/article/security/1559【ニュース】 ◆JTBの情報漏えいで使われたマルウェア「PlugX」とは何か? …

JPCERT/CC、「Emdivi」解析用スクリプトを無償公開 - 「APT 17」用ツールも

【ニュース】 ◆JPCERT/CC、「Emdivi」解析用スクリプトを無償公開 - 「APT 17」用ツールも (Security NEXT, 2015/10/28) http://www.security-next.com/063786 【参考情報】 ◆標的型攻撃に使われるマルウエアを検知するVolatility Plugin (JPCERT/CC, 2015/1…

C&CのIP通知にMSの「TechNet」を悪用 - 「Deputy Dog」の攻撃グループ

バックドアとしてBLACKCOFFEEの亜種を使用 IPアドレスの情報をエンコードしてフォーラムのプロフィールページに掲載 「@MICR0S0FT」と「C0RP0RATI0N」という2つのタグの間にあるエンコード済みIPアドレスの場所を検索 【ニュース】 ◆C&CのIP通知にMSの「Tec…

APT17、マイクロソフトの「TechNet」をマルウェア拡散に悪用(2)

【ニュース】 ◆中国ハッカー集団、マイクロソフトの「TechNet」をマルウェア拡散に悪用 (ZDNet, 2015/05/18 11:25) http://japan.zdnet.com/article/35064621/ ◆APT Group Embeds Command and Control Data on TechNet Pages (threat post, 2015/05/18 03:03…

中国のサイバー犯罪集団、TechNetを踏み台に

【ニュース】 ◆中国のサイバー犯罪集団、TechNetを踏み台に (ITmedia, 2015/05/15 07:16) 中国のサイバー犯罪集団「APT17」はMicrosoftのTechNetにアカウントを作成して、フォーラムへの投稿にマルウェア制御用インフラのコードを仕込んでいた http://www.it…

REGIONAL ADVANCED THREAT REPORT

【公開情報】 ◆REGIONAL ADVANCED THREAT REPORT:Europe, Middle East and Africa 1H2015 (FireEye, 2015) https://www.fireeye.com/content/dam/fireeye-www/partners/pdfs/rpt-regional-atr-emea-web-bt.pdf

APT1より危険な攻撃グループ ~ Aurora Panda/APT17が残した痕跡 ~

【公開情報】 ◆APT1より危険な攻撃グループ ~ Aurora Panda/APT17が残した痕跡 ~ (マクニカネットワークス, 2014/07/08) http://www.macnica.net/mnd/mnd2014/C-3.html/

攻撃者を知るためのインテリジェンスの活用

【概要】 【攻撃者】 Aurora Panda Dagger Panda(2011/03~, IceFog) 【資料】 ◆攻撃者を知るためのインテリジェンスの活用 (デジタル・フォレンジック研究会, 2014/06/03) http://digitalforensic.jp/wp-content/uploads/2014/06/034ffca2b35b7d4a270ddb991…

APT1より危険な攻撃者グループ

【ブログ】 ◆APT1より危険な攻撃者グループ (マクニカ, 2014/05/28) http://blog.macnica.net/blog/2014/05/28/?ref=calendar

The Monju Incident

【資料】 ◆The Monju Incident (Context Threat Intelligence, 2014/01/27) http://www.contextis.com/documents/30/TA10009_20140127_-_CTI_Threat_Advisory_-_The_Monju_Incident1.pdf

IEのゼロデイ脆弱性を悪用する新エクスプロイト、DeputyDogとの関連も(ファイア・アイ)

【概要】■Trojan.APT.9002の亜種の特徴 111.68.9.93(C&Cサーバ)に443番ポートで接続 非HTTPプロトコルとHTTP POSTを使用して通信 非HTTPプロトコルとHTTP POSTを使用して通信 ペイロードはメモリで動作 (ディスクに書き込まない) ペイロードには「rat_UnInst…

IEに新たな脆弱性、標的型攻撃が発生(1) -- Operation Ephemeral Hydra --

【ニュース】 ◆Operation Ephemeral Hydra: IE Zero-Day Linked to DeputyDog Uses Diskless Method (FireEye, 2013/11/10) http://www.fireeye.com/blog/technical/cyber-exploits/2013/11/operation-ephemeral-hydra-ie-zero-day-linked-to-deputydog-uses…

Operation DeputyDog: Zero-Day (CVE-2013-3893) Attack Against Japanese Targets

【ブログ】 ◆Operation DeputyDog: Zero-Day (CVE-2013-3893) Attack Against Japanese Targets (FireEye, 2013/09/21) http://www.fireeye.com/blog/technical/cyber-exploits/2013/09/operation-deputydog-zero-day-cve-2013-3893-attack-against-japanese…


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2017