【概要】
■攻撃テクニック
- バイナリの埋め込みまたは直接ダウンロードを使用するJavaScriptバックドアコンポーネント。
- JavaScriptバックドアは難読化され、%Appdata%\ Microsoft \ Protect \ CREDにダウンロード
- mshtaアプリケーションによって作成されたレジストリ実行エントリを使用して永続化
- 起動されたウィンドウは、JavaScriptコマンド「window.moveTo(-100、-100)、window.resizeTo(0,0)」を使って隠蔽
■JavaScriptバックドア機能
- WMIを使用してシステム情報を照会する
- 接続にプロキシサーバーを使用する。
- リモートファイルのダウンロードと実行
- ファイル/ディレクトリ/ネットワーク/プロセス/レジストリおよびシステム操作を使用する
■WMIを使用しシステム情報を照会
- ボリューム通し番号のハッシュ
- コンピュータネーム
- IPアドレス
- 現在のユーザー名
- オペレーティング・システム
- プロキシサーバー
【ニュース】
◆Stealthy Cyberespionage Campaign Attacks With Social Engineering (Spiceworks, 2015/06/25)
https://community.spiceworks.com/topic/1028936-stealthy-cyberespionage-campaign-attacks-with-social-engineering