TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究ログ

APT21 / NetTraveler (まとめ)

【概要】

攻撃種別 APT(標的型攻撃)
組織名 APT21, NetTraveler
攻撃作戦名 NetTraveler, Travnet, Netfile
使用脆弱性 CVE-2012-0158, CVE-2013-2465(Java)
攻撃方法 標的型攻撃メール(スピアフィッシングメール), 水飲み場型攻撃
マルウェア名 NetTraveler(Kaspersky), Travnet(Symantec), Netfile


  • 当初の攻撃(2004年前後)
    • 40 か国で350 を超える有名企業や政府機関を標的に攻撃
  • 最近の攻撃(2014年)
    • ウイグルとチベットの活動家を標的
    • 新しい暗号化方式を採用
    • 標的型攻撃メール(スピアフィッシングメール)


【辞書】

  • NetTraveler (Wikipedia)

https://en.wikipedia.org/wiki/NetTraveler


【ニュース】

◆政府機関や軍事産業を狙うマルウェアスパイ、日本など40カ国350組織に被害 (ITmedia, 2013/06/06 06:52)
Kaspersky Labによると、世界の大手企業や政府機関などがマルウェア「NetTraveler」に感染している
http://www.itmedia.co.jp/news/articles/1306/06/news030.html

◆カスペルスキーがマルウェア「NetTraveler」を発見 - 日本含む40カ国で被害 (マイナビニュース, 2013/06/10 15:31)
https://news.mynavi.jp/article/20130610-a130/

◆40カ国の政府機関や研究施設等が標的、マルウェア「NetTraveler」 (WIRED, 2013/06/13)
http://wired.jp/2013/06/13/espionage-malware-infects-raft-of-governments-industries-around-the-world/


【ブログ】

◆“NetTraveler is Running!” – Red Star APT Attacks Compromise High-Profile Victims (SecureList, 2013/06/04)
https://securelist.com/nettraveler-is-running-red-star-apt-attacks-compromise-high-profile-victims/35936/

◆NetTraveler Is Back: The ‘Red Star’ APT Returns With New Tricks (SecureList(Kaspersky), 2013/09/03)
https://securelist.com/nettraveler-is-back-the-red-star-apt-returns-with-new-tricks/57455/

◆サイバースパイ活動「NetTraveler」、10 年を経て大幅にバージョンアップ ‐最新APT バックドアを使用した攻撃が増加 (Kaspersky, 2014/09/10)
http://www.kaspersky.co.jp/about/news/virus/2014/vir10092014

◆NetTraveler APT Targets Russian, European Interests (Proofpoint, 2016/07/07)
https://www.proofpoint.com/us/threat-insight/post/nettraveler-apt-targets-russian-european-interests


【資料】

◆NetFile-801.exe (Kaspersky)
https://kasperskycontenthub.com/wp-content/uploads/sites/43/vlpdfs/kaspersky-the-net-traveler-part1-final.pdf


【参考画像】

f:id:tanigawa:20180504220701p:plain
出典: https://securelist.com/nettraveler-is-running-red-star-apt-attacks-compromise-high-profile-victims/35936/



【インディケータ情報】

■ハッシュ情報(MD5)

c263b4a505d8dd11ef9d392372767633 new.jar
15e8a1c4d5021e76f933cb1bc895b9c2 file.tmp

(以上は Kasperskyの情報。 引用元は https://securelist.com/nettraveler-is-back-the-red-star-apt-returns-with-new-tricks/57455/)



■IPアドレス

  • 198.211.18.93

(以上は Kasperskyの情報。 引用元は https://securelist.com/nettraveler-is-back-the-red-star-apt-returns-with-new-tricks/57455/)


■URL

  • hxxp://worldmaprsh.com/gzh/nettr/filetransfer.asp

(以上は Kasperskyの情報。 引用元は https://securelist.com/nettraveler-is-back-the-red-star-apt-returns-with-new-tricks/57455/)


■ハッシュ情報 (MD5: Spear-phishing samples)

  • 36ed86602661bb3a7a55e69fde90ee73
  • 6eb5932b0ed20f11f1a887bcfbdde10f
  • 059a7482efee3b2abf67c12d210cb2f7
  • e5954b8204eb321d20bed4a86b3cef34
  • 63494c74db9bfc2bba3983698c952de9
  • b600089a93275fa93558695b707b87ad
  • f4f14d4a1e34f62eeb9a90b5c8b2cfc1
  • 0e2b10015fe52b7ea77a213f0c330557
  • 29a420e52b56bfadf9f0701318524bef

(以上は Kasperskyの情報。 引用元は https://kasperskycontenthub.com/wp-content/uploads/sites/43/vlpdfs/kaspersky-the-net-traveler-part1-final.pdf)


■ハッシュ情報 (MD5)

  • 01d06f85fce63444c3563fe3bd20c004
  • 03e8d330abc77a6a9d635d2e7c0e213a
  • 08e5352a2416bd32a1c07f2d6c2f11fa
  • 13b3cb819b460591c27e133e93fb8661
  • 19a0693480c82f2b7fc8659d8f91717a
  • 1a70e1e36e6afa454f6457140ac3d2ec
  • 1dcad7c8f56207b2c423353f0c328755
  • 1f26e5f9b44c28b37b6cd13283838366
  • 209c3b51cad30c85ca79a9f067ce04cd
  • 22be9cca6e4ec3af327595b890a92fec
  • 28e9faec9de3bbdeb65435bfc377d1f8
  • 294da087e6329ae78c1a5fb42b999500
  • 29a394a4ec8a30b5f36c7b874fc9fe10
  • 2a43c23a17cd2bc9074a486c47444e7c
  • 2ac8f77548e87b401767c7076adfa00d
  • 2d0e4748d857c12184ed2c94c13ec1ae
  • 2dc139d82a2a5bf027bcb6a40f75b3f4
  • 33334d8dc36c4ee7739fe2f8b448da72
  • 36f9a0e71f0b580333c61bfeaa88df39
  • 37d588b289c65f10c256e43eba939a0a
  • 382c1d692dd3cec9b046e5c0eeaf92e6
  • 39c2b2ee24373bf1ef20faff958718bc
  • 3b4cf5f1ff8c4187e41c6ab80f000491
  • 3cb96fe79aa01c82ac68c54e88918e57
  • 482f112cb7cb0293d99f8a7606acbe85
  • 4968882f189236952fd38a11586b395a
  • 4c8950da250ea135ee77a2644af414ba
  • 524aed944b7f307eea5677eda7e2079a
  • 54583ccc97c33e358510b563b1536e69
  • 57f2374d9f2a787339b0c6a5b1008a72
  • 5e35b31472a2e603a995198d8e8411ed
  • 5e7c5e8d9f5864488ddf04b662d1ad8e
  • 63f0f91e3ccf5dd00a455d3038a299f4
  • 66684b8b82fb5318a41ab7e6abb8dd42
  • 677f7c42f79a0a58760056529739fdd6
  • 6afeec03c8f4bc78fa2b3ad27392b0e7
  • 6d00e4f95fba02126b32bb74dc4fec55
  • 6d49cdbade7541d46be3fb47a0f563bb
  • 6de813a22b2b73e330085ec7c85e041b
  • 71f311a648348e7598eb55ab7618842c
  • 723129912a2d0fb4aede7100071787ef
  • 778c1764dd5c36c1eb96c49a8f8441e6
  • 7b92e9d21bc4db838bc102b289f4fd5f
  • 812d8e4d7a484bb363b139cfa08617e5
  • 81591ae1c975b8a0b5ad5546a103992c
  • 81d92e20f3078bd8e43b226308393e43
  • 83429db9cc63196bf42c691cc09b7b84
  • 852f562812305ad099372109f8e8b189
  • 85865e048183849b255c92e609a5fa25
  • 86cce64193a347b50329a32cdf08d198
  • 89bfd463ca76b62c61a548778316567d
  • 8ccea94fd83d9cb1b15a2a4befec24a2
  • 8d3036a65ac2404d4562cdb927fd3d2c
  • 8d78a9e3df1e19f9520f2bbb5f04cb54
  • 8dc61b737990385473dca9bfc826727b
  • 95113e04af14c23df607964fa9d83476
  • 9b198f1e260700bdcb4740266cd35b3f
  • 9c1c2825532b25e266d62db50952ab44
  • 9c544da8c23826379d60581cce17a483
  • a0e350787e4134ea91ccb26d17cdf167
  • a1169fb2eb93616ced7536a53fb05648
  • a431d5786d9d95bc9d04df07cbefc0a2
  • a6d89df2a80675980fb3e4a9bcc162e2
  • a77456a160890a26a8f7c019c2e77021
  • aa6f8eff83aea3ff7b8f016e67f74dac
  • af6649323daf6dbd3aef1b950588487c
  • b3840ec1299517dacd6c18c71ff5bafc
  • b8c99bc028a0a32288d858df7bf6bec1
  • b990752f8266d7648070bea7e24d326f
  • ba026e6190aee2c64ef62a4e79419bcf
  • bea6e3481c0a06ce36600d8b3cc6155b
  • c87e8a3ceefd93c7e431b753801c6bb6
  • cb9cc50b18a7c91cf4a34c624b90db5d
  • cebaaad59f1616698dec4f14d76b4c9a
  • d04a7f30c83290b86cac8d762dcc2df5
  • d218706eb07f2722ae4e0106cce27d52
  • d286c4cdf40e2dae5362eff562bccd3a
  • d2fe88fff648a0bcbfdf0f0bd042a0a4
  • d354b71116961cad955ed11cb938ca32
  • d687cfde1c4ea77de1b92ea2f9e90ad5
  • d80c29813bfbc3cbcbd469249d49ebf3
  • d9c0ca95e49b113c5751fffdb20beb3f
  • d9cf41b5d11e42dabf9470964d09c000
  • db6e36f962fdb58c8e9f8f9a781fda66
  • dc01df3c40cb4fb0bef448693475ea1b
  • def612ad0554006378f185d3b56efb57
  • e51a4cc0272a98e9eddfec16667603f4
  • e5b1ffd2ecd7e610d07d093d65639da9
  • eb5761c410b5139f23235e9b67964495
  • eefc66a1e978dc9d825f28702106d4d5
  • efa23860086c5d12d3e6b918073c717f
  • f3c5c20f5c45fc401484caf72753d778
  • fad8f37c9bd5420f49cfd5960a60fa24
  • fb3495715764cdaa547f2b040c0a9b1f
  • fc3853c2383e2fbb2af381fd1277504d
  • fe16c30782e2b16b07d5a3a1cf9dfb8f
  • ff04126a5d61a10c81bfd0a6d0a643d0

(以上は Kasperskyの情報。 引用元は https://kasperskycontenthub.com/wp-content/uploads/sites/43/vlpdfs/kaspersky-the-net-traveler-part1-final.pdf)

■IPアドレス情報

IPアドレス 備考
209.11.241.144 mothership, VPN server,C2
121.12.124.69 C2 (allen.w223.west263.cn)
61.178.77.111 C2 (wolf0.3322.org)
182.50.130.68 C2 (viprambler.com)
103.20.192.59 C2 (sunshine.59.ydli.net)
213.156.6.122 C2 (cultureacess.com)
209.130.115.38 C2 (tsgoogoo.net)
98.143.145.80 C2 (spit113.minidns.net)
96.46.4.237 C2 (sghrhd.190.20081.info)
109.169.86.178 C2 (imapupdate.com)
125.67.89.156 C2 (faceboak.net)
142.4.96.6 C2 (buynewes.com)
124.115.21.209 C2 IP
67.198.140.148 C2 (southstock.net)
96.44.179.26 C2 (vip222idc.s169.288idc.com)
235.22.123.90 C2 (gami1.com)
178.77.45.32 C2 (ra1nru.com)

(以上は Kasperskyの情報。 引用元は https://kasperskycontenthub.com/wp-content/uploads/sites/43/vlpdfs/kaspersky-the-net-traveler-part1-final.pdf)

■ドメイン名(C&Cサーバー)

  • allen.w223.west263.cn
  • andriodphone.net
  • bauer.8866.org
  • buynewes.com
  • cultureacess.com
  • discoverypeace.org
  • drag2008.com
  • eaglesey.com
  • enterairment.net
  • faceboak.net
  • gami1.com
  • globalmailru.com
  • hint09.9966.org
  • imapupdate.com
  • inwpvpn.com
  • keyboardhk.com
  • localgroupnet.com
  • mailyandexru.com
  • msnnewes.com
  • newesyahoo.com
  • newfax.net
  • pkspring.net - sinkholed by Kaspersky Lab
  • ra1nru.com
  • ramb1er.com
  • sghrhd.190.20081.info
  • southstock.net
  • spit113.minidns.net
  • tsgoogoo.net
  • vip222idc.s169.288idc.com
  • viplenta.com
  • vipmailru.com
  • viprainru.com
  • viprambler.com
  • vipyandex.com
  • vpnwork.3322.org
  • wolf0.3322.org
  • wolf001.us109.eoidc.net
  • yahooair.com
  • yangdex.org - sinkholed by Kaspersky Lab
  • zeroicelee.com

(以上は Kasperskyの情報。 引用元は https://kasperskycontenthub.com/wp-content/uploads/sites/43/vlpdfs/kaspersky-the-net-traveler-part1-final.pdf)


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2019