TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究・参照ログ

トップ > 攻撃組織: Earth Yako > 日本を含む東アジアを狙った「Earth Yako」による標的型攻撃キャンペーンの詳解

日本を含む東アジアを狙った「Earth Yako」による標的型攻撃キャンペーンの詳解

攻撃組織: Earth Yako セキュリティ企業: Trendmicro *標的型攻撃 / APT / Cyber Espionage / スピアフィッシング

【図表】


Earth Yakoによる攻撃のタイムライン

MIRRORKEY/TRANSBOXの実行フロー

DWINTL.DLLに付与されたMicrosoft社の正規証明書

MS13-098/CVE-2013-3900を悪用した暗号化ペイロードの埋め込み

ペイロードの復号鍵の生成ロジック

DLLに埋め込まれていたオリジナルファイル名

チェックイン時のリクエスト

DBとして使用されるiniファイル

C&Cサーバからのレスポンスのフォーマット

MIRRORKEY/PLUGBOXの実行フロー

DLLに埋め込まれていたオリジナルファイル名

チェックイン時のRefresh Tokenを利用したAccess Tokenの取得

ISOファイルに含まれるファイル群

PULINK/SHELLBOXの実行フロー

Wordcnv.dllのエクスポート関数を呼び出す処理

呼び出されたrelease_fileメソッド内の処理

引数に応じて指定されたDLLを呼び出すigfxxe.exe内の処理

ハードコードされたGitHubのURLから2段目のURL取得を試みる処理

GitHubにホストされていたファイル(2022年11月)

2段目のURLからDropboxのAccess Tokenを取得する処理

Dropboxから暗号化された.NETアセンブリをダウンロード・実行する処理

悪用されていたGitHubアカウント

6月時点で使用されていたと思われるURL

UTC+9のタイムゾーンでコミットされているログ

ダイヤモンドモデルによるEarth Yakoに関する整理
出典: https://www.trendmicro.com/ja_jp/research/23/a/targeted-attack-campaign-earth-yako.html


【ブログ】

◆日本を含む東アジアを狙った「Earth Yako」による標的型攻撃キャンペーンの詳解 (Trendmicro, 2023/01/27)

トレンドマイクロでは2021年以降、日本国内の学術機関・シンクタンクやその関係者個人を標的としたAPT・標的型攻撃を複数観測しています。トレンドマイクロではこの一連の攻撃を行っている攻撃グループを、「Earth Yako」と命名し追跡しています。

https://www.trendmicro.com/ja_jp/research/23/a/targeted-attack-campaign-earth-yako.html


【関連まとめ記事】

全体まとめ
 ◆攻撃組織 / Actor (まとめ)
  ◆標的型攻撃組織 / APT (まとめ)

◆Earth Yako (まとめ)
https://malware-log.hatenablog.com/entry/Earth_Yako

Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2023