【図表】
攻撃と関連インシデントのタイムライン
図2. 侵害の連鎖の図解
図3. Q-Dirアプリケーションのスクリーンショット
図4. アセンブリコードには、実行フローをシェルコードに迂回させるJMP命令が示されています。16進ダンプは、PEのセクションヘッダの末尾にあるシェルコードを示しています。
図5. バイナリファイルのダウンロードとディスクへの書き込みを制御する関数の逆コンパイルコード
図6. Tickマルウェアのロードプロセスのハイレベルな概要
図7. PYCペイロードを実行するために取られるステップのハイレベルな概要
図8. 難読化されたユニークなユーザーIDを付加してURLを作成するデコンパイルされたPythonコード
図9. Netboyが実装するC&Cのパケットフォーマットの説明図
図10. 2つの乱数を生成し、それらを組み合わせてパケットフィンガープリント値を生成するデコンパイルコード
図11. 新しく受信したパケットの検証を行うデコンパイルコード
図12. コントローラに送信する新しいパケットを作成するデコンパイル
コード
出典: https://www.welivesecurity.com/2023/03/14/slow-ticking-time-bomb-tick-apt-group-dlp-software-developer-east-asia/
【ブログ】
◆The slow Tick‑ing time bomb: Tick APT group compromise of a DLP software developer in East Asia (Welivesecurity(ESET), 2023/03/14)
[ゆっくりTickする時限爆弾。東アジアのDLPソフトウェア開発者を狙ったTick APTグループによる侵害事件]ESET Research uncovered a campaign by APT group Tick against a data-loss prevention company in East Asia and found a previously unreported tool used by the group
[ESET Researchは、APTグループTickによる東アジアのデータ損失防止企
業に対するキャンペーンを発見し、これまで報告されていなかった同グ
ループが使用するツールを発見した]