TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究・参照ログ

Crafty Panda 標的型攻撃解析レポート

【資料】

◆Crafty Panda 標的型攻撃解析レポート (NTT セキュリティ, 2020/07/21)

COVID-19関連資料をデコイファイルとして利用した標的型攻撃を観測しました。2016年頃から活動が報告されているこのアクターについて、今回Crafty Pandaと命名して調査を行いました。
本レポートでは、一連の攻撃について使用された攻撃コードやマルウェアの特徴、感染後端末に侵入した攻撃者の振る舞いについて調査した結果を報告します。

https://www.nttsecurity.com/docs/librariesprovider3/default-document-library/craftypanda-analysis-report


【インディケータ情報】

■ハッシュ情報(MD5) - Crafty Panda -

21a51a834372ab11fba72fb865d6830e
98406fd125578d762e5ed657597d395e
4f8ff5e70647dbc5d91326346c393729
83d04f21515c7e6316f9cd0bb393a118
522f37a15221e98ff91f9d1327e28059
fd648c3b7495abbe86b850587e2e5431
f689da6eaceb690c0dadadb77edb1dd2
58c41922f08437585d15ec2cf670bce7
2bddf60edcc7aef81fb830f5f24d4c42
6397fc57caae8c7923c15a38e5200ecb
c1efb305a442f91a6a4ecea83b088d1d
1fa942e99ece01022ec61c9f9e555984

(以上は NTT セキュリティの情報: 引用元は https://www.nttsecurity.com/docs/librariesprovider3/default-document-library/craftypanda-analysis-report )


■FQDN - Crafty Panda -

mail.nsyeapig[.]com
motivation.neighboring[.]site
www.phpvlan[.]com

(以上は NTT セキュリティの情報: 引用元は https://www.nttsecurity.com/docs/librariesprovider3/default-document-library/craftypanda-analysis-report )


■IPアドレス - Crafty Panda -

69[.]172.75.223

(以上は NTT セキュリティの情報: 引用元は https://www.nttsecurity.com/docs/librariesprovider3/default-document-library/craftypanda-analysis-report )


■URL - Crafty Panda -

http://motivation.neighboring[.]site/01/index.php
http://69[.]172.75.223/webb/index.php

(以上は NTT セキュリティの情報: 引用元は https://www.nttsecurity.com/docs/librariesprovider3/default-document-library/craftypanda-analysis-report )


【検索】

google: 21a51a834372ab11fba72fb865d6830e
google: 98406fd125578d762e5ed657597d395e
google: 4f8ff5e70647dbc5d91326346c393729
google: 83d04f21515c7e6316f9cd0bb393a118
google: 522f37a15221e98ff91f9d1327e28059
google: fd648c3b7495abbe86b850587e2e5431
google: f689da6eaceb690c0dadadb77edb1dd2
google: 58c41922f08437585d15ec2cf670bce7
google: 2bddf60edcc7aef81fb830f5f24d4c42
google: 6397fc57caae8c7923c15a38e5200ecb
google: c1efb305a442f91a6a4ecea83b088d1d
google: 1fa942e99ece01022ec61c9f9e555984


【VT検索】

https://www.virustotal.com/gui/file/21a51a834372ab11fba72fb865d6830e
https://www.virustotal.com/gui/file/98406fd125578d762e5ed657597d395e
https://www.virustotal.com/gui/file/4f8ff5e70647dbc5d91326346c393729
https://www.virustotal.com/gui/file/83d04f21515c7e6316f9cd0bb393a118
https://www.virustotal.com/gui/file/522f37a15221e98ff91f9d1327e28059
https://www.virustotal.com/gui/file/fd648c3b7495abbe86b850587e2e5431
https://www.virustotal.com/gui/file/f689da6eaceb690c0dadadb77edb1dd2
https://www.virustotal.com/gui/file/58c41922f08437585d15ec2cf670bce7
https://www.virustotal.com/gui/file/2bddf60edcc7aef81fb830f5f24d4c42
https://www.virustotal.com/gui/file/6397fc57caae8c7923c15a38e5200ecb
https://www.virustotal.com/gui/file/c1efb305a442f91a6a4ecea83b088d1d
https://www.virustotal.com/gui/file/1fa942e99ece01022ec61c9f9e555984

https://www.virustotal.com/gui/domain/mail.nsyeapig.com
https://www.virustotal.com/gui/domain/motivation.neighboring.site
https://www.virustotal.com/gui/domain/www.phpvlan.com

https://www.virustotal.com/gui/ip-address/69.172.75.223

  • hxxp://motivation.neighboring[.]site/01/index.php

https://www.virustotal.com/gui/url/281124ba996f3e70e927d3a3651dfb274b658f7b2e57518a4dea3f94ce1f8bf0

  • hxxp://69[.]172.75.223/webb/index.php

https://www.virustotal.com/gui/url/aed272ce6cbd39bf57cbc11e80e77c80bbf8d6c913f46afd3e4425ca9177cdc7


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2020