TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究のログ

代表アドレスへ履歴書送付、APTグループ「OceanLotus」が日系自動車企業東南アジア拠点攻撃の可能性(マクニカネットワークス)

【要点】

◎2018年秋頃から複数の自動車関連企業の東南アジア拠点でOceanLotusによる攻撃を観測


【概要】

■攻撃手法

  • 履歴書の送付を装った「代表アドレス」へのメールを多く観測
    • メールにはWordファイルが添付
    • Template Injectionの手法でマクロを自動的にダウンロード
    • マクロを有効にすると悪意のあるコードが実行
  • ローダーに公開・商用ツールの「Cobalt Strike/CACTUSTORCH」を使用
  • 添付ファイルにはマクロが含まれておらず、マクロはHTTPSでダウンロード


【ニュース】

◆代表アドレスへ履歴書送付、APTグループ「OceanLotus」が日系自動車企業東南アジア拠点攻撃の可能性(マクニカネットワークス) (NetSecurity, 2019/04/26 08:00)

マクニカネットワークスは、ホワイトペーパー「OceanLotus 東南アジア自動車業界への攻撃」を公開した

https://scan.netsecurity.ne.jp/article/2019/04/26/42274.html


【関連まとめ記事】

全体まとめ
 ◆攻撃組織 / Actor (まとめ)
  ◆標的型攻撃組織 / APT (まとめ)

◆APT32 (まとめ)
https://malware-log.hatenablog.com/entry/APT32

 ◆ツール (まとめ)
  ◆マルウェア作成支援ツール (まとめ)

◆Cobalt Strike Beacon (まとめ)
https://malware-log.hatenablog.com/entry/Cobalt_Strike_Beacon


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2019