File properties of one of the decoy documents that REDBALDKNIGHT sends to Japanese targets
Sample of decoy documents used by REDBALDKNIGHT, employing socially engineered titles in their spear phishing emails such as “disaster prevention”
Daserf’s latest execution and infection flow
Code snippets showing Daserf’s decode function, which is the same as XXMM’s
Steganography toolkit used by REDBALDKNIGHT for XXMM
Snapshots of Daserf’s steganographic code generated by their toolkit
出典: https://blog.trendmicro.com/trendlabs-security-intelligence/redbaldknight-bronze-butler-daserf-backdoor-now-using-steganography/
【概要】
■組織の特徴
- サイバースパイグループ
■別名
- REDBALDKNIGHT
- BRONZE BUTLER
- Tick
■攻撃対象
- 政府機関(防衛を含む)
- バイオテクノロジー
- エレクトロニクス製造
- 工業化学
■マルウェア
Daserf | backdoor | Muirim, Nioupale |
---|
- 一太郎の文書フォーマットを使用
1.40C | 暗号化されたWindowsアプリケーションプログラミングインターフェイス(API) |
---|---|
1.40D | 暗号化されたWindowsアプリケーションプログラミングインターフェイス(API) |
1.40 Mini | MPRESSパッカー |
1.50A | 暗号化されたWindowsアプリケーションプログラミングインターフェイス(API) |
1.50B | 暗号化されたWindowsアプリケーションプログラミングインターフェイス(API) |
1.50C | 暗号化されたWindowsアプリケーションプログラミングインターフェイス(API) |
1.50D | 暗号化されたWindowsアプリケーションプログラミングインターフェイス(API) |
1.50F | 暗号化されたWindowsアプリケーションプログラミングインターフェイス(API) |
1.50Z | 暗号化されたWindowsアプリケーションプログラミングインターフェイス(API) |
1.72 以降 | ステガノグラフィ |
■パッカー
MPRESS | AV検出とリバースエンジニアリングに対して保護 |
【ブログ】
◆REDBALDKNIGHT/BRONZE BUTLER’s Daserf Backdoor Now Using Steganography (Trendmicro, 2017/11/07 04:34)
http://blog.trendmicro.com/trendlabs-security-intelligence/redbaldknight-bronze-butler-daserf-backdoor-now-using-steganography/
【資料】
◆REDBALDKNIGHT/BRONZE BUTLER’s Daserf Backdoor Now Using Steganography (Trendmicro, 2017/11/07)
https://documents.trendmicro.com/assets/appendix-redbaldknight-bronze-butler-daserf-backdoor-steganography.pdf
【関連まとめ記事】
◆Tick / Bronze Butler (まとめ)
http://malware-log.hatenablog.com/entry/Tick
【インディケータ情報】
◆REDBALDKNIGHT/BRONZE BUTLER’s Daserf Backdoor Now Using Steganography (Trendmicro, 2017/11/07)
https://ioc.hatenablog.com/entry/2017/11/07/000000