TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究・参照ログ

トップ > 攻撃組織: APT32 / OceanLotus Group / APT-C-00 / SeaLotus / Cobalt Kitty > 代表アドレスへ履歴書送付、APTグループ「OceanLotus」が日系自動車企業東南アジア拠点攻撃の可能性(マクニカネットワークス)

代表アドレスへ履歴書送付、APTグループ「OceanLotus」が日系自動車企業東南アジア拠点攻撃の可能性(マクニカネットワークス)

攻撃組織: APT32 / OceanLotus Group / APT-C-00 / SeaLotus / Cobalt Kitty *標的型攻撃 / APT / Cyber Espionage / スピアフィッシング 攻撃フレームワーク: Cobalt Strike Malware: CactusTorch

【要点】

◎2018年秋頃から複数の自動車関連企業の東南アジア拠点でOceanLotusによる攻撃を観測


【概要】

■攻撃手法

  • 履歴書の送付を装った「代表アドレス」へのメールを多く観測
    • メールにはWordファイルが添付
    • Template Injectionの手法でマクロを自動的にダウンロード
    • マクロを有効にすると悪意のあるコードが実行
  • ローダーに公開・商用ツールの「Cobalt Strike/CACTUSTORCH」を使用
  • 添付ファイルにはマクロが含まれておらず、マクロはHTTPSでダウンロード


【ニュース】

◆代表アドレスへ履歴書送付、APTグループ「OceanLotus」が日系自動車企業東南アジア拠点攻撃の可能性(マクニカネットワークス) (NetSecurity, 2019/04/26 08:00)

マクニカネットワークスは、ホワイトペーパー「OceanLotus 東南アジア自動車業界への攻撃」を公開した

https://scan.netsecurity.ne.jp/article/2019/04/26/42274.html


【関連まとめ記事】

全体まとめ
 ◆攻撃組織 / Actor (まとめ)
  ◆標的型攻撃組織 / APT (まとめ)

◆APT32 (まとめ)
https://malware-log.hatenablog.com/entry/APT32

 ◆マルウェア / Malware (まとめ)
  ◆攻撃フレームワーク (まとめ)

◆Cobalt Strike (まとめ)
https://malware-log.hatenablog.com/entry/Cobalt_Strike

Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2023