TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究のログ

REDBALDKNIGHT/BRONZE BUTLER’s Daserf Backdoor Now Using Steganography

f:id:tanigawa:20171107134602j:plain
File properties of one of the decoy documents that REDBALDKNIGHT sends to Japanese targets
f:id:tanigawa:20171107135111j:plain
Sample of decoy documents used by REDBALDKNIGHT, employing socially engineered titles in their spear phishing emails such as “disaster prevention”
f:id:tanigawa:20190223070248j:plain
Daserf’s latest execution and infection flow
f:id:tanigawa:20171025172558j:plain
Code snippets showing Daserf’s decode function, which is the same as XXMM’s
f:id:tanigawa:20171024203407j:plain
Steganography toolkit used by REDBALDKNIGHT for XXMM
f:id:tanigawa:20190223070008p:plain
Snapshots of Daserf’s steganographic code generated by their toolkit
出典: https://blog.trendmicro.com/trendlabs-security-intelligence/redbaldknight-bronze-butler-daserf-backdoor-now-using-steganography/


【概要】

■組織の特徴

  • サイバースパイグループ

■別名

  • REDBALDKNIGHT
  • BRONZE BUTLER
  • Tick

■攻撃対象

  • 政府機関(防衛を含む)
  • バイオテクノロジー
  • エレクトロニクス製造
  • 工業化学

■マルウェア

Daserf backdoor Muirim, Nioupale
  • 一太郎の文書フォーマットを使用
1.40C 暗号化されたWindowsアプリケーションプログラミングインターフェイス(API)
1.40D 暗号化されたWindowsアプリケーションプログラミングインターフェイス(API)
1.40 Mini MPRESSパッカー
1.50A 暗号化されたWindowsアプリケーションプログラミングインターフェイス(API)
1.50B 暗号化されたWindowsアプリケーションプログラミングインターフェイス(API)
1.50C 暗号化されたWindowsアプリケーションプログラミングインターフェイス(API)
1.50D 暗号化されたWindowsアプリケーションプログラミングインターフェイス(API)
1.50F 暗号化されたWindowsアプリケーションプログラミングインターフェイス(API)
1.50Z 暗号化されたWindowsアプリケーションプログラミングインターフェイス(API)
1.72 以降 ステガノグラフィ

■パッカー

MPRESS AV検出とリバースエンジニアリングに対して保護

【ブログ】

◆REDBALDKNIGHT/BRONZE BUTLER’s Daserf Backdoor Now Using Steganography (Trendmicro, 2017/11/07 04:34)
http://blog.trendmicro.com/trendlabs-security-intelligence/redbaldknight-bronze-butler-daserf-backdoor-now-using-steganography/


【資料】

◆REDBALDKNIGHT/BRONZE BUTLER’s Daserf Backdoor Now Using Steganography (Trendmicro, 2017/11/07)
https://documents.trendmicro.com/assets/appendix-redbaldknight-bronze-butler-daserf-backdoor-steganography.pdf

【関連まとめ記事】

◆Tick / Bronze Butler (まとめ)
http://malware-log.hatenablog.com/entry/Tick


【インディケータ情報】

◆REDBALDKNIGHT/BRONZE BUTLER’s Daserf Backdoor Now Using Steganography (Trendmicro, 2017/11/07)
https://ioc.hatenablog.com/entry/2017/11/07/000000


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2019