TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究ログ

Sowbug: 南米と東南アジアの政府機関を狙うサイバースパイ集団を確認

f:id:tanigawa:20171112061140p:plain
出典: https://www.symantec.com/connect/blogs/sowbug-0

【概要】

項目 内容
攻撃対象国 南米(アルゼンチン, ブラジル, エクアドル, ペルー, ブルネイ, マレーシア),東南アジア
攻撃対象機関 外務機関,外交官
攻撃内容 秘密文書の窃取
活動開始時期 2015 年前半
使用マルウェア Felismus
特徴 就業時間外に攻撃(発見されにくくするため)
長期にわたってターゲットに潜伏し続ける場合が多い


【使用コマンド】

cmd.exe /c c:\windows\rar.exe a -m5 -r -ta20150511000000 -v3072 c:\recycler\[編集済み].rar "\\[編集済み]\*.docx" \\[編集済み]\*.doc.

2015 年 5 月 11 日以降に更新されたファイルのみをアーカイブ


【ブログ】

◆Sowbug: 南米と東南アジアの政府機関を狙うサイバースパイ集団を確認 (Symantec, 2017/11/07)

Sowbug は、カスタムの Felismus マルウェアを使っており、南米の外交政策に強い関心を示しています

https://www.symantec.com/connect/blogs/sowbug-0


【インディケータ情報】


■ハッシュ情報(MD5)

514f85ebb05cad9e004eee89dde2ed07 Backdoor.Felismus
00d356a7cf9f67dd5bb8b2a88e289bc8 Backdoor.Felismus
c1f65ddabcc1f23d9ba1600789eb581b Backdoor.Felismus
967d60c417d70a02030938a2ee8a0b74 Backdoor.Felismus
4984e9e1a5d595c079cc490a22d67490 Trojan.Starloader
e4e1c98feac9356dbfcac1d8c362ab22 Hacktool.Mimikatz

出典: https://www.symantec.com/connect/blogs/sowbug-0


ドメイン情報(C&Cサーバ)

  • nasomember.com
  • cosecman.com
  • unifoxs.com

出典: https://www.symantec.com/connect/blogs/sowbug-0


■インストールディレクト

出典: https://www.symantec.com/connect/blogs/sowbug-0


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2019