2018-05-31

NavRAT Uses US-North Korea Summit As Decoy For Attacks In South Korea

NavRAT *インディケータ情報 *マルウェア解析攻撃組織: APT37 / Reaper / Group123 / ScarCruft / Ricochet Chollima / Red Eyes / Sun Team

【ブログ】

◆NavRAT Uses US-North Korea Summit As Decoy For Attacks In South Korea (CISCO, 2018/05/31)
https://blogs.cisco.com/security/talos/navrat-uses-us-north-korea-summit-as-decoy-for-attacks-in-south-korea

【関連まとめ記事】

◆APT37 (まとめ)
http://malware-log.hatenablog.com/entry/APT37

【インディケータ情報】

■ハッシュ情報(Sha256)

Sha256	備考
e5f191531bc1c674ea74f8885449f4d934d5f1aa7fd3aaa283fe70f9402b9574	悪質なHWP
4f06eaed3dd67ce31e7c8258741cf727964bd271c3590ded828ad7ba8d04ee57	NavRAT

(以上は Talosの情報: 引用元は https://blog.talosintelligence.com/2018/05/navrat.html?m=1)

■ハッシュ情報(Sha256) - 2016 NavRATサンプル -

0257d187be69b9bee0a731437bf050d56d213b50a6fd29dd6664e7969f286ef

(以上は Talosの情報: 引用元は https://blog.talosintelligence.com/2018/05/navrat.html?m=1)

【マルウェア情報】

■e5f191531bc1c674ea74f8885449f4d934d5f1aa7fd3aaa283fe70f9402b9574

項目	内容
MD5	ff9eff561fd793ddb9011cf7006d5f6c
SHA1	bd71832af30d337d9a1dea0eeeba0e07e2535d44
SHA256	e5f191531bc1c674ea74f8885449f4d934d5f1aa7fd3aaa283fe70f9402b9574
SHA512
SSDEEP	6144:dG7X6CJgZXtZi1KAbaPbBty0+9p9m+fr42lsAQwPQ3IbVNN:o7X65ZqaPbp+9p9mGcV+PQ3I6144:d
authentihash
imphash
File Size	248 KB (253952 bytes)
File Type	Hangul (Korean] Word Processor documentHangul (K
コンパイル日時
File Name	미북 정상회담 전망 및 대비.hwp
File Path
生成ファイル
TRiD	Hangul (Korean) Word Processor document (alternate) (67.3%)
	Generic OLE2 / Multistream Compound File (32.6%)
特徴

◇参考情報

https://www.virustotal.com/#/file/e5f191531bc1c674ea74f8885449f4d934d5f1aa7fd3aaa283fe70f9402b9574

https://www.hybrid-analysis.com/sample/e5f191531bc1c674ea74f8885449f4d934d5f1aa7fd3aaa283fe70f9402b9574?environmentId=110

TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 / 攻撃組織に関する「個人」の調査・研究・参照ログ

NavRAT Uses US-North Korea Summit As Decoy For Attacks In South Korea