TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究・参照ログ

Winnti 1.0 technical analysis

【図表】

f:id:tanigawa:20120726165712j:plain
出典: https://securelist.com/winnti-1-0-technical-analysis/37002/


【概要】

組織名称 Winnti
調査開始 2011~(Kaspersky)
活動時期 数年前(2013から見て)
攻撃対象 オンラインビデオゲーム業界に対するサイバー攻撃
攻撃の特徴 正規のデジタル証明書を使用
オンラインゲームプロジェクトのソースコードを盗難


■C&Cサーバのドメイン

  • 個別のIPアドレスが対象企業ごとに割り当て
  • 第2レベルドメインは
    • IPアドレスの割りあてなし
  • A レコードが存在する場合
    • 127.0.0.1を設定
    • 対象企業とよく似たドメイン, IPアドレスは正規サイトのもの
  • 第3レベルドメインは、C&CサーバのIPアドレス


【ブログ】

◆Winnti 1.0 technical analysis (SecureList(Kaspersky), 2013/04/11)
https://securelist.com/winnti-1-0-technical-analysis/37002/


【関連まとめ記事】

全体まとめ
 ◆マルウェア / Malware (まとめ)
  ◆標的型攻撃マルウェア (まとめ)

◆Winnti [マルウェア] (まとめ)
https://malware-log.hatenablog.com/entry/Winnti_malware

 ◆攻撃組織 / Actor (まとめ)
  ◆標的型攻撃組織 / APT (まとめ)

◆Winnti / APT41 (まとめ)
https://malware-log.hatenablog.com/entry/Winnti