TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 / 攻撃組織 に関する「個人」の調査・研究・参照ログ

トップ > 攻撃組織: Winnti / APT41 / Blackfly / Suckfly / Wicked Panda / Wicked Spider / Barium (中国) > ゲーム会社への標的攻撃に使用された「WINNTI」ファミリ類似の亜種を確認

ゲーム会社への標的攻撃に使用された「WINNTI」ファミリ類似の亜種を確認

攻撃組織: Winnti / APT41 / Blackfly / Suckfly / Wicked Panda / Wicked Spider / Barium (中国)

【概要】

  • 主にオンラインゲーム開発会社などの民間企業に対する、標的型攻撃で使用された不正プログラムの亜種
  • マルウェア検知名: BKDR_TENGO.A
  • 観戦方法: 正規 DLLの偽装(winmm.dll)
  • 利用ファイル: Aheadlib
  • Aheadlibの特徴: オリジナルのライブラリによるすべての関数をフックする機能
  • 難読化: 暗号化なし、高度な難読化
  • マルウェアの機能
    • 外付けのUSB ドライブから、MS Office ファイル や PDF ファイル、TIFF ファイルを収集
    • 収集データを C:\$NtUninstallKB080515$ に保管
    • Usblog_DXM.log というログファイルを生成
    • バックドア機能
  • コマンド
    • Help: ファイル名、および利用しているC&Cサーバを表示
    • MainInfo: ファイル名、および利用しているC&Cサーバを表示


【ニュース】

◆ゲーム会社への標的攻撃に使用された「WINNTI」ファミリ類似の亜種を確認 (Trendmicro, 2013/05/17)
http://blog.trendmicro.co.jp/archives/7252


【関連情報】

◆Backdoor Built With Aheadlib Used In Targeted Attacks? (Trendmicro, 2013/05/09)
http://blog.trendmicro.com/trendlabs-security-intelligence/backdoor-built-with-aheadlib-used-in-targeted-attacks/
http://malware-log.hatenablog.com/entry/2013/05/09/000000_1


【関連まとめ記事】

◆Winnti (まとめ)
http://malware-log.hatenablog.com/entry/winnti

【インディケータ情報】

■通信先

  • 50.93.204.62
  • 98.143.145.118
  • 100.42.216.249
  • 108.62.10.239
  • 192.154.102.244
  • 199.180.103.42
  • 216.70.128.124
  • 216.70.255.201
  • banana02.myz.info
  • songcai89.ddns.info
  • thaifruit.myz.info

Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2023