Malware: BLACKCOFFEE
【公開情報】 ◆Why Technology Alone is not Enough (FireEye, 2015/11) https://www.avantec.ch/assets/uploads/PDF%20Documents/avantec-fireeye-webinar.pdf
【ツール】 ◆標的型攻撃に使われるマルウエアを検知するVolatility Plugin (JPCERT/CC, 2015/10/28) https://www.jpcert.or.jp/magazine/acreport-aptscan.html 【参考情報】 ◆APT17: Hiding in Plain Sight - FireEye and Microsoft Expose Obfuscation Tac…
【ニュース】 ◆JPCERT/CC、「Emdivi」解析用スクリプトを無償公開 - 「APT 17」用ツールも (Security NEXT, 2015/10/28) http://www.security-next.com/063786 【参考情報】 ◆標的型攻撃に使われるマルウエアを検知するVolatility Plugin (JPCERT/CC, 2015/1…
【概要】 バックドアとしてBLACKCOFFEEの亜種を使用 IPアドレスの情報をエンコードしてフォーラムのプロフィールページに掲載 「@MICR0S0FT」と「C0RP0RATI0N」という2つのタグの間にあるエンコード済みIPアドレスの場所を検索 【ニュース】 ◆C&CのIP通知に…
エンコード済みIPアドレスの例 出典: https://www.fireeye.jp/company/press-releases/2015/fireeye-and-microsoft-expose-chinese-apt-groups-obfuscation-tactic.html 【概要】■概要 APT17が使用するマルウェア(バックドア) ■使用グループ APT17, Hidden L…
【マルウエアDB】 ◆Backdoor.Win32.BlackCoffee.A (TELUS) http://telussecuritylabs.com/threats/show/TSL20150514-13