TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究・参照ログ

トップ > 攻撃組織: Tick / Bronze Butler / NCPH / RedBaldKnight / The Bald Knight Rises > The slow Tick‑ing time bomb: Tick APT group compromise of a DLP software developer in East Asia

The slow Tick‑ing time bomb: Tick APT group compromise of a DLP software developer in East Asia

攻撃組織: Tick / Bronze Butler / NCPH / RedBaldKnight / The Bald Knight Rises Malware: ShadowPy Malware: Netboy (バックドア)

【図表】


攻撃と関連インシデントのタイムライン

図2. 侵害の連鎖の図解

図3. Q-Dirアプリケーションのスクリーンショット

図4. アセンブリコードには、実行フローをシェルコードに迂回させるJMP命令が示されています。16進ダンプは、PEのセクションヘッダの末尾にあるシェルコードを示しています。

図5. バイナリファイルのダウンロードとディスクへの書き込みを制御する関数の逆コンパイルコード

図6. Tickマルウェアのロードプロセスのハイレベルな概要

図7. PYCペイロードを実行するために取られるステップのハイレベルな概要

図8. 難読化されたユニークなユーザーIDを付加してURLを作成するデコンパイルされたPythonコード

図9. Netboyが実装するC&Cのパケットフォーマットの説明図

図10. 2つの乱数を生成し、それらを組み合わせてパケットフィンガープリント値を生成するデコンパイルコード

図11. 新しく受信したパケットの検証を行うデコンパイルコード

図12. コントローラに送信する新しいパケットを作成するデコンパイル
コード
出典: https://www.welivesecurity.com/2023/03/14/slow-ticking-time-bomb-tick-apt-group-dlp-software-developer-east-asia/


【ブログ】

◆The slow Tick‑ing time bomb: Tick APT group compromise of a DLP software developer in East Asia (Welivesecurity(ESET), 2023/03/14)
[ゆっくりTickする時限爆弾。東アジアのDLPソフトウェア開発者を狙ったTick APTグループによる侵害事件]

ESET Research uncovered a campaign by APT group Tick against a data-loss prevention company in East Asia and found a previously unreported tool used by the group
[ESET Researchは、APTグループTickによる東アジアのデータ損失防止企
業に対するキャンペーンを発見し、これまで報告されていなかった同グ
ループが使用するツールを発見した]

https://www.welivesecurity.com/2023/03/14/slow-ticking-time-bomb-tick-apt-group-dlp-software-developer-east-asia/

Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2023