TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究・参照ログ

トップ > *標的型攻撃 / APT / Cyber Espionage / スピアフィッシング > Stealthy Cyberespionage Campaign Attacks With Social Engineering

Stealthy Cyberespionage Campaign Attacks With Social Engineering

*標的型攻撃 / APT / Cyber Espionage / スピアフィッシング セキュリティ企業: McAfee ツール: WMI

【概要】

■攻撃テクニック

  • バイナリの埋め込みまたは直接ダウンロードを使用するJavaScriptバックドアコンポーネント。
  • JavaScriptバックドアは難読化され、%Appdata%\ Microsoft \ Protect \ CREDにダウンロード
    • mshtaアプリケーションによって作成されたレジストリ実行エントリを使用して永続化
  • 起動されたウィンドウは、JavaScriptコマンド「window.moveTo(-100、-100)、window.resizeTo(0,0)」を使って隠蔽


■JavaScriptバックドア機能

  • WMIを使用してシステム情報を照会する
  • 接続にプロキシサーバーを使用する。
  • リモートファイルのダウンロードと実行
  • ファイル/ディレクトリ/ネットワーク/プロセス/レジストリおよびシステム操作を使用する


■WMIを使用しシステム情報を照会

  • ボリューム通し番号のハッシュ
  • コンピュータネーム
  • IPアドレス
  • 現在のユーザー名
  • オペレーティング・システム
  • プロキシサーバー


【ニュース】

◆Stealthy Cyberespionage Campaign Attacks With Social Engineering (Spiceworks, 2015/06/25)
https://community.spiceworks.com/topic/1028936-stealthy-cyberespionage-campaign-attacks-with-social-engineering

Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2023