TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する個人の調査・研究ログ

ラック、マルウェア「Daserf」の実態レポート「日本の重要インフラ事業者を狙った攻撃者」を公開

【ニュース】

◆ラック、マルウェア「Daserf」の実態レポート「日本の重要インフラ事業者を狙った攻撃者」を公開 (EnterpriseZine, 2016/08/02 15:00)
https://enterprisezine.jp/article/detail/8333

◆重要インフラを狙うマルウェア「Daserf」、長期間標的組織に潜伏の可能性(ラック) (NetSecurity, 2016/08/03)
http://scan.netsecurity.ne.jp/article/2016/08/03/38799.html


【資料】

◆CYBER GRID VIEW Vol.2 PDF版 (Lac, 2016/08/02)
http://www.lac.co.jp/security/report/pdf/20160802_cgview_vol2_a001t.pdf

【関連情報】

◆TICK CYBERESPIONAGE GROUP ZEROS IN ON JAPAN (TT Malware Log, 2016/04/30)
http://malware-log.hatenablog.com/entry/2016/04/30/000000

◆APT Tick and Daserf Malware Target Japan (IBM X-Force Exchange)
https://exchange.xforce.ibmcloud.com/collection/APT-Tick-and-Daserf-Malware-Target-Japan-55df326f7121f17c19667dabf6e0b173

【報告書概要】

■ハードコーディングされたファイル名

■通信先

  • bbs.jirohome.com
  • buy.monexs.com
  • date.avayep.com
  • eat.leaftosky.com
  • eks.yukiheya.com
  • go2kba.astringer.com
  • www.haikuyears.com
  • ipad.beppujigoku.com
  • ipad.meropar.net
  • list.max-fx.net
  • mshelp.energymice.com
  • news.justdied.com
  • ntwo.turkdaw.com
  • pcsecure.jparadise.net
  • phone.energymice.com
  • phot.healthsvsolu.com
  • rlsolar.jp
  • tvbs.yeowkim.com
  • update.shinewanta.com
  • www.twscsk.net
  • www9.anglest.net
  • www.03trades.com
  • www.beinzoo.com
  • www.dreamsig.com
  • www.rakutan.jp

■検体(daserf)のMD5

  • 11c5664bb5ea536676735efff333e2e2
  • 27ad4f54563038b7a90e66444bf7146e
  • 422450b14ad728a3b40dee3c4a48b53f
  • 48efa1dbc5dfc59df0c34b13a96cbd5c
  • 491b4a8912cf5c1554ce8807f7889d4b
  • 5c242fab2d222848755dadfbd29f7176
  • 5dd701d2df35c2a75d1ed5ad75ded06d
  • 765017e16842c9eb6860a7e9f711b0db
  • 7c91dcc66f6d0c31d6e36bb2869c0622
  • 80cc4ac026fa5d5b6f0ae82d19126ea4
  • 8979b840eb5a9a5d84f3da7843859bd5
  • 975f512e59ae2e592ba8e2c657bcb3fc
  • 9b7ccca8af5fd30e8e3706fdf4419653
  • 9be919143ed3d33e713242ebe5923a89
  • 9faf0d22bbb0e837ed750435d4c01431
  • a77a25fb8112dc5f8a2feac0413d5f58
  • b2ef0baef194f5c0044cfe5b6c5f321b
  • bbd6fceba90efdbdbe22f11af9199321
  • c35e99e48a4e81d43e66355a202f8902
  • caafc4b6154022e7d50869d50d67148a
  • d3031438d80913f21ec6d3078dc77068
  • dbb4415b7ba646fd6272e18311f43c10
  • df44fab5096630133b4159e5c196e9b4
  • f4ab35f4f8569a446eba63df68ab8d97

自動起動設定

  1. Adobe ARM というファイル名を利用
  2. スタートアップ時に AdobeARM.exe が実行するよう設定

Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2017