TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する個人の調査・研究記録

PlugX / korplug

プラグエックス、コープラグ

【第4回】JTBを襲った「Korplug(PlugX)」の感染が成功してしまった理由

出典: https://news.mynavi.jp/itsearch/article/security/2522 【ニュース】 ◆【第4回】JTBを襲った「Korplug(PlugX)」の感染が成功してしまった理由 (IT Search, 2017/03/08 13:00) https://news.mynavi.jp/itsearch/article/security/2522

攻撃者グループmenuPassとマルウェア「Poison Ivy、PlugX、ChChes」の関連性

出典: https://www.lac.co.jp/lacwatch/people/20170223_001224.html 【公開情報】 ◆攻撃者グループmenuPassとマルウェア「Poison Ivy、PlugX、ChChes」の関連性 (Lac, 2017/02/23) https://www.lac.co.jp/lacwatch/people/20170223_001224.html

Poison Ivyのコードを取り込んだマルウエアPlugX

【公開情報】 ◆Poison Ivyのコードを取り込んだマルウエアPlugX (JPCERT/CC, 2017/01/12) https://www.jpcert.or.jp/magazine/acreport-plugx2.html

経団連にマルウェア「PlugX」「Elirks」が侵入、APT攻撃と判断

【ニュース】 ◆経団連にマルウェア「PlugX」「Elirks」が侵入、APT攻撃と判断 (ITmedia, 2016/11/16 19:38) 経団連の事務局コンピュータが外部と不正通信を行っていたことが判明し、調査からAPT(高度な標的型攻撃)と断定した http://www.itmedia.co.jp/ent…

日本の大企業を襲った「PlugX」を使用する標的型攻撃

【ニュース】 ◆日本の大企業を襲った「PlugX」を使用する標的型攻撃 (Fortinet Security Blog, 2016/07/13) http://www.fortinet.co.jp/security_blog/160713-plugx.html

JTB流出ウイルスは中国製が濃厚

【概要】■PlugXの別名 Korplug (PlugX / korplug カテゴリーの記事一覧 - TT Malware Log) ■ELIRKSの別名 Jambox (ELIRKS / KLURP / Jambox カテゴリーの記事一覧 - TT Malware Log) ■PlugXの攻撃事例 日本のハイテク企業・製造業を狙った攻撃 2015年7…

JTB狙ったサイバー攻撃 以前にも同じ手口

【概要】 以前にも、PlugXを使用したメールが2012年に防衛を研究する大学教授などに送りつけられていたことが判明 【ニュース】 ◆JTB狙ったサイバー攻撃 以前にも同じ手口 (NHK, 2016/06/24 05:15) http://www3.nhk.or.jp/news/html/20160624/k1001056920…

高度化する標的型攻撃から大事なデータを守るために企業は今何をすべきか

【ニュース】 ◆高度化する標的型攻撃から大事なデータを守るために企業は今何をすべきか (EnterpriseZine, 2016/06/21 06:00) https://enterprisezine.jp/article/detail/8184

JTBの情報漏えいで使われたマルウェア「PlugX」とは何か?

PlugXの実行モジュール作成、操作ツール コマンドプロンプト画面 PlugXを使うAPTグループ(日本を攻撃しているグループ) 出典: https://news.mynavi.jp/itsearch/article/security/1559【ニュース】 ◆JTBの情報漏えいで使われたマルウェア「PlugX」とは何か? …

JTB流出、香港と不審通信…中国が攻撃関係か

【概要】 JTB子会社のパソコン計6台、サーバー2台が感染 サーバーの1台が外部と不審な通信(香港) 2種類のウイルスが使用 1つは、2012年頃から日本の政府機関や企業を狙った標的型攻撃に使用されていた 中国・江蘇省、広東省と不審な通信がされたこ…

PlugX

出典: http://ascii.jp/elem/000/001/179/1179391/ 【ニュース】 ◆ファイア・アイ、大手旅行会社を襲った「PlugX」を詳説 (ASCII.jp, 2016/06/17 11:30) http://ascii.jp/elem/000/001/179/1179391/ ◆ファイア・アイ、JTBを狙った標的型攻撃のマルウェア「Pl…

JTB顧客情報流出、2種類のウイルス使用

【概要】 PlugX ELIRKS 【ニュース】 ◆JTB顧客情報流出、2種類のウイルス使用 (読売新聞, 2016/06/15 16:50) http://www.yomiuri.co.jp/national/20160615-OYT1T50109.html 【関連情報】 ◆ELIRKS (Trendmicro) http://about-threats.trendmicro.com/Malw…

JTB パソコンを遠隔操作するウイルスに感染か

出典: http://itpro.nikkeibp.co.jp/atcl/column/14/346926/061500549/?SS=imgview&FD=1153259116&ST=system【概要】 PlugXに感染した疑い 【ニュース】 ◆JTB パソコンを遠隔操作するウイルスに感染か (NHK, 2016/06/15 04:26) http://www3.nhk.or.jp/new…

JTB (まとめ)

【概要】■事件概要 03/15、JTBのパソコンに取引先を装ったメールが届き、添付ファイルを開いたことにより、JTBのパソコンがマルウェアに感染(標的型攻撃) 03/19、社内のサーバーが海外と不審な通信をしていることが判明 03/25、不審な通信を特定し通信を遮断…

日本を襲う標的型マルウエア 巧妙すぎる正体を暴く

Poison Ivy の管理画面 出典: http://itpro.nikkeibp.co.jp/atcl/column/15/110900259/031600005/ 【ニュース】 ◆[第5回]日本を襲う標的型マルウエア 巧妙すぎる正体を暴く (ITPro, 2016/03/22) http://itpro.nikkeibp.co.jp/atcl/column/15/110900259/031…

PlugX malware: A good hacker is an apologetic hacker

RC4 Key 出典: https://securelist.com/blog/virus-watch/74150/plugx-malware-a-good-hacker-is-an-apologetic-hacker/【ブログ】 ◆PlugX malware: A good hacker is an apologetic hacker (SecureList, 2016/03/10 11:59) https://securelist.com/blog/vir…

遠隔操作にDNS通信を使うマルウエアが上陸、ラックが注意喚起

出典: http://itpro.nikkeibp.co.jp/atcl/news/16/020100322/?SS=imgview&FD=-654642772&ST=security 【ニュース】 ◆遠隔操作にDNS通信を使うマルウエアが上陸、ラックが注意喚起 (ITPro, 2016/02/01) http://itpro.nikkeibp.co.jp/atcl/news/16/020100322/

標的型攻撃の裏側

【ニュース】 ◆なぜ日本が狙われるのか--増加する標的型攻撃の裏側を読む (ZDNet, 2015/06/19 07:30) http://japan.zdnet.com/article/35066043/

ASERT Threat Intelligence Report 2015-­‐05 PlugX Threat Activity in Myanmar

【資料】 ◆ASERT Threat Intelligence Report 2015-­‐05 PlugX Threat Activity in Myanmar (ARBOR, 2015/05) http://www.google.co.jp/url?sa=t&rct=j&q=&esrc=s&source=web&cd=13&cad=rja&uact=8&ved=0ahUKEwj8_cfxkqjMAhXDGJQKHSo0BlQQFghsMAw&url=http%3…

訃報メールでマルウェア感染、日本企業を狙う新手の攻撃を確認 (4)

【ニュース】 ◆1~3月に日本企業を狙った標的型攻撃を確認--訃報メールにマルウェア仕込む (ZDNet, 2015/04/22 17:40) http://japan.zdnet.com/article/35063494/

日本の製造・ハイテク産業を狙った標的型攻撃、Excel風のEXEファイルに注意

【ニュース】 ◆日本の製造・ハイテク産業を狙った標的型攻撃、Excel風のEXEファイルに注意 (マイナビニュース, 2015/04/21) http://news.mynavi.jp/news/2015/04/21/071/

メールで届いた「訃報」が実際はマルウェア - 中国グループが新手口

訃報の画像 出典: http://www.security-next.com/057813 Excelを使ったおとりファイル 出典: http://internet.watch.impress.co.jp/docs/news/698740.html【ニュース】 ◆メールで届いた「訃報」が実際はマルウェア - 中国グループが新手口 (Security NEXT, 2…

標的型攻撃対策が困難に ファイアウォールやSIEMを逃れる手口も

EMDIVIのHTTP通信ヘッダーの内容例 出典: http://image.itmedia.co.jp/l/im/enterprise/articles/1504/15/l_tmta02.jpg 【ニュース】 ◆標的型攻撃対策が困難に ファイアウォールやSIEMを逃れる手口も (ITmedia, 2015/04/15 17:56) 国内企業や組織への標的型…

JPCERT/CC、マルウェア「PlugX」の新機能を説明

【ニュース】 ◆JPCERT/CC、マルウェア「PlugX」の新機能を説明 (マイナビニュース, 2015/01/23) http://news.mynavi.jp/news/2015/01/23/222/

マルウエアPlugXの新機能

2014年10月に確認したPlugXには複数の新機能が搭載されていた 設定情報が0x36a4バイトに拡張(13988バイト) P2P通信に関する設定が追加された 設定可能なC&Cサーバの数が4から16に増加 C&Cサーバとの通信に使可能にプロトコルが5種に増加(プロトコル番号「255…

正式発売された人気のゲームで「PlugX」の感染を確認

【概要】■感染していたオンラインゲーム League of Legends (LoL) Path of Exile(PoE) ■感染後も残品するファイル名 NtUserEx.dll NtUserEx.dat ■PlugXの特徴 自動起動サービスを利用せずに自動起動 Cooperという文字列がファイルに含まれる 「Lee Coope…

マルウエアPlugXの新機能

■SHA-256 Hash bc65e2859f243ff45b12cd184bfed7b809f74e67e5bb61bc92ed94058d3d2515 93c85a8dd0becc4e396eea2dc15c0010ff58d2b873d44fd7e45711a27cfe613b 0ff134057a8b2e31b148fedfdd185f5b1a512149499a8c5c0915cf10b10a613e 【公開情報】 ◆マルウエアPlugX…

シマンテック、一太郎の脆弱性を悪用した攻撃について解説

【概要】■関係が疑われる組織 LadyBoyle (LadyBoyle カテゴリーの記事一覧 - TT Malware Log) HiddenLynx (Hidden Lynx カテゴリーの記事一覧 - TT Malware Log) 【ニュース】 ◆シマンテック、一太郎の脆弱性を悪用した攻撃について解説 (マイナビニュース, …

RATの「PlugX」に新型亜種 - 隠蔽機能を強化

従来型のPlugXの通信内容 新型のPlugXの通信内容 出典: http://blog.trendmicro.co.jp/archives/9748 【概要】 OSコマンドの実行 ディスク容量の確認 画面キャプチャの窃取 感染PC の OS のシャットダウンや再起動 指定した SQLサーバへの接続、クエリ実行 n…

Pacific Ring of Fire: PlugX / Kaba

【ブログ】 ◆Pacific Ring of Fire: PlugX / Kaba (FireEye, 2014/07/24) https://www.fireeye.com/blog/threat-research/2014/07/pacific-ring-of-fire-plugx-kaba.html

Dropbox が台湾を攻撃するための時限爆弾の制御に利用される~新たな攻撃のためにトロイの木馬「PlugX」がアップグレード

【ニュース】 ◆Dropbox が台湾を攻撃するための時限爆弾の制御に利用される~新たな攻撃のためにトロイの木馬「PlugX」がアップグレード(The Register) (NetSecurity, 2014/07/10 08:30) http://scan.netsecurity.ne.jp/article/2014/07/10/34505.html

起動日時が設定されたRAT「PlugX」、C&C設定ダウンロードにDropboxを悪用

【ブログ】 ◆起動日時が設定されたRAT「PlugX」、C&C設定ダウンロードにDropboxを悪用 (Trendlabs Security Blog, 2014/06/27) http://blog.trendmicro.co.jp/archives/9357

PlugX – The Next Generation

PlugXのバイナリイメージ 出典: https://www.sophos.com/en-us/medialibrary/pdfs/technical%20papers/plugx-thenextgeneration.pdf 【公開情報】 ◆PlugX – The Next Generation (Sophos, 2014/06) https://www.sophos.com/en-us/medialibrary/pdfs/technica…

IIJ Infrastructure Review(IIR)を発行

【ニュース】 ◆NTPサーバを踏み台としたDDoS攻撃が頻発--技術レポート(IIJ) (NetSecurity, 2014/05/27 08:00) http://scan.netsecurity.ne.jp/article/2014/05/26/34248.html 【資料】 ◆Internet Infrastructure Review (IIR) Vol.23 (IIJ) http://www.ii…

日本を狙う標的型攻撃特化型マルウェア「PlugX」の特徴

【ニュース】 ◆日本を狙う標的型攻撃特化型マルウェア「PlugX」の特徴 (togetter, 2014/05/15) http://togetter.com/li/667665

Adobe Flash Playerに存在するゼロデイ脆弱性、RAT「PlugX」に誘導

【ブログ】 ◆Adobe Flash Playerに存在するゼロデイ脆弱性、RAT「PlugX」に誘導 (TrendLabs Security Blog, 2014/02/25) http://blog.trendmicro.co.jp/archives/8635 関連情報: http://d.hatena.ne.jp/security-lab/20120910/p3 (2012/09/10) PlugX (まとめ…

三四郎に対するゼロデイ攻撃を確認

【ニュース】 ◆「三四郎」のユーザー層を標的にしてきたゼロデイ攻撃、遠隔操作が狙いか (Internet Watch, 2014/02/10 16:26) http://internet.watch.impress.co.jp/docs/news/20140210_634613.html 【ブログ】 ◆日本語表計算ソフト「三四郎」に対するゼロデ…

一太郎の脆弱性を悪用した攻撃(4)

【ニュース】 ◆一太郎の脆弱性を突くマルウェア、人事情報装うメールで日本に「着弾」 (ITmdia, 2013/12/06 07:24) 攻撃には「11/26及び11/30人事情報」という件名のメールが使われ、一太郎の拡張子「.jtd」が付いたファイルが添付されていた http://www.itm…

From the Labs: New PlugX malware variant takes aim at Japan

【ブログ】 ◆From the Labs: New PlugX malware variant takes aim at Japan (nakedsecurity, 2013/12/04) http://nakedsecurity.sophos.com/2013/12/04/new-plugx-malware-variant-takes-aim-at-japan/ 【関連情報】 関連情報: http://d.hatena.ne.jp/secur…

一太郎の脆弱性を悪用した攻撃(3)

【ニュース】 ◆From the Labs: New PlugX malware variant takes aim at Japan (nakedsecurity, 2013/12/04) http://nakedsecurity.sophos.com/2013/12/04/new-plugx-malware-variant-takes-aim-at-japan/

「一太郎」の脆弱性悪用に成功した攻撃が登場

【ニュース】 ◆「一太郎」の脆弱性悪用に成功した攻撃が登場、直ちにアップデートを (Internet Watch, 2013/11/27 12:34) http://internet.watch.impress.co.jp/docs/news/625256.html 【ブログ】 ◆一太郎の脆弱性の悪用に成功した攻撃を確認 (Symantec, 201…

一太郎の脆弱性の悪用に成功した攻撃を確認

【ブログ】 ◆一太郎の脆弱性の悪用に成功した攻撃を確認 (Symantec, 2013/11/25) http://www.symantec.com/connect/ja/blogs-318

新型PlugXの出現

【ブログ】 ◆新型PlugXの出現 (IIJ-SECT, 2013/11/21) https://sect.iij.ad.jp/d/2013/11/197093.html 【関連情報】 関連情報: http://d.hatena.ne.jp/security-lab/20120910/p3 (2012/09/10) PlugX (まとめ) 参考情報: http://d.hatena.ne.jp/security-lab+…

Internet Infrastructure Review (IIJ)

【公開情報】 ◆IIJ、インターネットの最新の技術動向・セキュリティ情報のレポート「Internet Infrastructure Review」Vol.21を発行 (IIJ, 2013/11/18) http://www.iij.ad.jp/news/pressrelease/2013/1118.html 【資料】 ◆Internet Infrastructure Review Vo…

The rush for CVE-2013-3906 - a hot commodity

【概要】 [Sample] •MD5: 7dd89c99ed7cec0ebc4afa8cd010f1f1 •MD5: 63ffbe83dccc954f6a9ee4a2a6a93058 •MD5: 4dd49174d6bc559105383bdf8bf0e234 •MD5: 6982f0125b4f28a0add2038edc5f038a •URL: hxxp://211.78.90.113/music/cover/as/update.exe 【ブログ】 ◆…

PlugX (12) -- The PlugX malware revisited: introducing “Smoaler” --

【資料】 ◆The PlugX malware revisited: introducing “Smoaler” (Sophos, 2013/07) http://sophosnews.files.wordpress.com/2013/07/sophosszappanosplugxrevisitedintroducingsmoaler-rev1.pdf

標的型攻撃で利用される「Poison Ivy」にあらたな攻撃手法

【概要】 ■DLLプリロード手法を使用 VMware Network Install Libraryの実行ファイルと同じフォルダに自身をコピー imeshare.dllを使用した攻撃も確認 【ニュース】 ◆標的型攻撃で利用される「Poison Ivy」にあらたな攻撃手法 - DLLプリロードを活用 (Securit…

PlugX (11) -- Inside the ”PlugX” malware with SophosLabs --

【ブログ】 ◆Inside the "PlugX" malware with SophosLabs - a fascinating journey into a malware factory... (nakedsecurity, 2013/05/20) 【資料】 ◆PlugX “malware factory” celebrates CVE-2012-0158 anniversary with Version 6.0 (SophosLabs, 2013/…

PlugX (10)

【ブログ】 ◆Targeted Attack Trend Alert: PlugX the Old Dog With a New Trick (FireEye, 2013/05/14) http://www.fireeye.com/blog/technical/cyber-exploits/2013/05/targeted-attack-trend-alert-plugx-the-old-dog-with-a-new-trick.html 関連情報: ht…

PlugX (9) -- 正規のアプリに偽装し検出を回避する「PlugX」の亜種を確認 --

【ニュース】 ◆正規のアプリに偽装し検出を回避する「PlugX」の亜種を確認(トレンドマイクロ) (NetSecurity, 2013/05/02 16:43) http://scan.netsecurity.ne.jp/article/2013/05/02/31553.html


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2017