TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する個人の調査・研究記録

Winnti

攻撃グルーブ

Winnti Evolution - Going Open Source

【ブログ】 ◆Winnti Evolution - Going Open Source (PROTECTWISE, 2017/07/11) https://www.protectwise.com/blog/winnti-evolution-going-open-source.html

サイバー犯罪者集団「WINNTI」に関与するメンバーを特定か

【ニュース】 ◆サイバー犯罪者集団「WINNTI」に関与するメンバーを特定か (Trendmicro, 2017/04/27) http://blog.trendmicro.co.jp/archives/14794

「WINNTI」、C&C通信にGitHubを悪用

出典: http://blog.trendmicro.co.jp/archives/14654 【概要】 GitHubのリポジトリを利用して C&C情報を取得 暗号化アルゴリズム PlugX様式+シフト文字列+ Base64 PlugX様式+シフト文字列+ Base64 + XOR PlugX様式+ Base64 + XOR マーク文字列+シフト文字列…

Winnti Polymorphism

【公開情報】 ◆Winnti Polymorphism (Symantec, 2016/12/19) https://hitcon.org/2016/pacific/0composition/pdf/1201/1201%20R2%201610%20winnti%20polymorphism.pdf

WINNTI ANALYSIS

【公開資料】 ◆WINNTI ANALYSIS (NOVETTA, 2016/06/20) http://www.novetta.com/wp-content/uploads/2015/04/novetta_winntianalysis.pdf 【ハッシュ】 ◆vt-winnti.txt http://www.novetta.com/wp-content/uploads/2015/04/vt-winnti.txt0798740771dc8f40a5a…

Suckfly: Revealing the secret life of your code signing certificates

Suckfly hacking tools and malware, characterized by functionality Tracking Suckfly’s use of stolen certificates, by month 出典: https://www.symantec.com/connect/blogs/suckfly-revealing-secret-life-your-code-signing-certificates 【ニュース…

PlugX malware: A good hacker is an apologetic hacker

RC4 Key 出典: https://securelist.com/blog/virus-watch/74150/plugx-malware-a-good-hacker-is-an-apologetic-hacker/【ブログ】 ◆PlugX malware: A good hacker is an apologetic hacker (SecureList, 2016/03/10 11:59) https://securelist.com/blog/vir…

「MERS予防」装う標的型攻撃、「CHMファイル」に注意

出典: http://www.security-next.com/060001 【ニュース】 ◆「MERS予防」装う標的型攻撃、「CHMファイル」に注意 (Security NEXT, 2015/06/30) http://www.security-next.com/060001/2

Internet Infrastructure Review (IIR) Vol.23

【公開資料】 ◆Internet Infrastructure Review (IIR) Vol.23 (IIJ, 2014/05/28) http://www.iij.ad.jp/company/development/report/iir/023/01_04.html

ゲーム会社への標的攻撃に使用された「WINNTI」ファミリ類似の亜種を確認

【概要】 主にオンラインゲーム開発会社などの民間企業に対する、標的型攻撃で使用された不正プログラムの亜種 マルウェア検知名: BKDR_TENGO.A 観戦方法: 正規 DLLの偽装(winmm.dll) 利用ファイル: Aheadlib Aheadlibの特徴: オリジナルのライブラリによる…

◆Backdoor Built With Aheadlib Used In Targeted Attacks?

【概要】 主にオンラインゲーム開発会社などの民間企業に対する、標的型攻撃で使用された不正プログラムの亜種 マルウェア検知名: BKDR_TENGO.A 観戦方法: 正規 DLLの偽装(winmm.dll) 利用ファイル: Aheadlib Aheadlibの特徴: オリジナルのライブラリによる…

Winnti returns with PlugX

出典: https://securelist.com/winnti-stolen-digital-certificates-re-used-in-current-watering-hole-attacks-on-tibetan-and-uyghur-groups-3/35692/ 【ブログ】 ◆Winnti returns with PlugX (SECURELIST, 2013/04/15 12:30 GMT) http://www.securelist.c…

Winnti-Stolen Digital Certificates Re-Used in Current Watering Hole Attacks on Tibetan and Uyghur Groups

【ブログ】 ◆Winnti-Stolen Digital Certificates Re-Used in Current Watering Hole Attacks on Tibetan and Uyghur Groups (SECURELIST, 2013/04/12) https://securelist.com/winnti-stolen-digital-certificates-re-used-in-current-watering-hole-attack…

Backdoor.Winnti

【公開情報】 ◆Backdoor.Winnti (Symantec, 2013/04/12) https://www.symantec.com/ja/jp/security_response/writeup.jsp?docid=2011-102716-2809-99&tabid=2

Winnti、ゲーム制作会社を標的に

【概要】 2009年以降、今も継続してオンラインゲーム企業を攻撃し続けている 攻撃の目的 オンラインゲームのソースコードを含む知的財産の盗難 正規のソフトウェアベンダーによって署名されたデジタル証明書の獲得 攻撃対象国 韓国、ドイツ、米国、日本、中…

The Winnti honeypot – luring intruders

【ブログ】 ◆The Winnti honeypot – luring intruders (SECURELIST, 2013/04/11) https://securelist.com/the-winnti-honeypot-luring-intruders/35623/

Winnti. More than just a game

【ブログ】 ◆Winnti. More than just a game (SECURELIST, 2013/04/11) https://securelist.com/winnti-more-than-just-a-game/37029/

Priority Intelligence Report: WINNTI Group Changing Targets

【ニュース】 ◆Priority Intelligence Report: WINNTI Group Changing Targets (The Register, 2013/04/11) http://www.theregister.co.uk/2013/04/11/video_game_cyberespionage/

Winnti (まとめ)

【関連グルーブ】 Blackfly Axiom Suckfly 【解析資料】 ◆Winnti (Kaspersky, 2013/04) https://kasperskycontenthub.com/wp-content/uploads/sites/43/vlpdfs/winnti-more-than-just-a-game-130410.pdf ◆WINNTI ANALYSIS (NOVETTA) http://www.novetta.com/…

Winnti

【公開情報】 ◆Winnti (Kaspersky, 2013/04) https://kasperskycontenthub.com/wp-content/uploads/sites/43/vlpdfs/winnti-more-than-just-a-game-130410.pdf 【ブログ】 ◆Winnti 1.0 technical analysis (SECURELIST, 2013/04/11) https://securelist.com/…


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2017