TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究ログ

APT21 / NetTraveler (まとめ)

概要


【辞書】

  • NetTraveler (Wikipedia)

https://en.wikipedia.org/wiki/NetTraveler


【概要】

攻撃種別 APT(標的型攻撃)
組織名 APT21, NetTraveler
攻撃作戦名 NetTraveler, Travnet, Netfile
使用脆弱性 CVE-2012-0158, CVE-2013-2465(Java)
攻撃方法 標的型攻撃メール(スピアフィッシングメール), 水飲み場型攻撃
マルウェア名 NetTraveler(Kaspersky), Travnet(Symantec), Netfile


  • 当初の攻撃(2004年前後)
    • 40 か国で350 を超える有名企業や政府機関を標的に攻撃
  • 最近の攻撃(2014年)
    • ウイグルとチベットの活動家を標的
    • 新しい暗号化方式を採用
    • 標的型攻撃メール(スピアフィッシングメール)

記事

【ニュース】

◆NetTraveler Espionage Campaign Uncovered, Links to Gh0st RAT, Titan Rain Found (Threat Post, 2013/06/04 12:35)
https://threatpost.com/net-traveler-espionage-campaign-uncovered-links-to-gh0st-rat-titan-rain-found/100865/
https://malware-log.hatenablog.com/entry/2013/06/04/000000_2

◆政府機関や軍事産業を狙うマルウェアスパイ、日本など40カ国350組織に被害 (ITmedia, 2013/06/06 06:52)
Kaspersky Labによると、世界の大手企業や政府機関などがマルウェア「NetTraveler」に感染している
http://www.itmedia.co.jp/news/articles/1306/06/news030.html
https://malware-log.hatenablog.com/entry/2013/06/06/000000_1

◆カスペルスキーがマルウェア「NetTraveler」を発見 - 日本含む40カ国で被害 (マイナビニュース, 2013/06/10 15:31)
https://news.mynavi.jp/article/20130610-a130/
https://malware-log.hatenablog.com/entry/2013/06/10/000000_1

◆Kaspersky Lab、政府機関や研究施設を標的とする「NetTraveler」に注意喚起 (マイナビニュース, 2013/06/11)
http://news.mynavi.jp/news/2013/06/11/120/index.html
https://malware-log.hatenablog.com/entry/2013/06/11/000000_1

◆40カ国の政府機関や研究施設等が標的、マルウェア「NetTraveler」 (WIRED, 2013/06/13)
http://wired.jp/2013/06/13/espionage-malware-infects-raft-of-governments-industries-around-the-world/
https://malware-log.hatenablog.com/entry/2013/06/13/000000_1

◆カスペルスキー、「NetTraveler」に注意喚起 - あらためて脆弱性に注意を (マイナビニュース, 2013/09/04)
http://news.mynavi.jp/news/2013/09/04/290/
https://malware-log.hatenablog.com/entry/2013/09/04/000000_1


【ブログ】

◆“NetTraveler is Running!” – Red Star APT Attacks Compromise High-Profile Victims (SecureList, 2013/06/04)
https://securelist.com/nettraveler-is-running-red-star-apt-attacks-compromise-high-profile-victims/35936/
https://malware-log.hatenablog.com/entry/2013/06/04/000000_1

◆NetTraveler Is Back: The ‘Red Star’ APT Returns With New Tricks (SecureList(Kaspersky), 2013/09/03)
https://securelist.com/nettraveler-is-back-the-red-star-apt-returns-with-new-tricks/57455/
https://malware-log.hatenablog.com/entry/2013/09/03/000000_2

◆サイバースパイ活動「NetTraveler」、10 年を経て大幅にバージョンアップ ‐最新APT バックドアを使用した攻撃が増加 (Kaspersky, 2014/09/10)
http://www.kaspersky.co.jp/about/news/virus/2014/vir10092014
https://malware-log.hatenablog.com/entry/2014/09/10/000000_2

◆NetTraveler APT Targets Russian, European Interests (Proofpoint, 2016/07/07)
https://www.proofpoint.com/us/threat-insight/post/nettraveler-apt-targets-russian-european-interests
https://malware-log.hatenablog.com/entry/2016/07/07/000000_3


【資料】

◆NetFile-801.exe (Kaspersky)
https://kasperskycontenthub.com/wp-content/uploads/sites/43/vlpdfs/kaspersky-the-net-traveler-part1-final.pdf
https://malware-log.hatenablog.com/entry/2011/04/28/000000


【図表】

f:id:tanigawa:20180504220701p:plain
出典: https://securelist.com/nettraveler-is-running-red-star-apt-attacks-compromise-high-profile-victims/35936/


【関連まとめ記事】

全体まとめ
 ◆攻撃組織 / Actor (まとめ)

◆標的型攻撃組織 / APT (まとめ)
https://malware-log.hatenablog.com/entry/APT

【インディケータ情報】

■ハッシュ情報(MD5)

c263b4a505d8dd11ef9d392372767633 new.jar
15e8a1c4d5021e76f933cb1bc895b9c2 file.tmp

(以上は Kasperskyの情報。 引用元は https://securelist.com/nettraveler-is-back-the-red-star-apt-returns-with-new-tricks/57455/)



■IPアドレス

  • 198.211.18.93

(以上は Kasperskyの情報。 引用元は https://securelist.com/nettraveler-is-back-the-red-star-apt-returns-with-new-tricks/57455/)


■URL

  • hxxp://worldmaprsh.com/gzh/nettr/filetransfer.asp

(以上は Kasperskyの情報。 引用元は https://securelist.com/nettraveler-is-back-the-red-star-apt-returns-with-new-tricks/57455/)


■ハッシュ情報 (MD5: Spear-phishing samples)

  • 36ed86602661bb3a7a55e69fde90ee73
  • 6eb5932b0ed20f11f1a887bcfbdde10f
  • 059a7482efee3b2abf67c12d210cb2f7
  • e5954b8204eb321d20bed4a86b3cef34
  • 63494c74db9bfc2bba3983698c952de9
  • b600089a93275fa93558695b707b87ad
  • f4f14d4a1e34f62eeb9a90b5c8b2cfc1
  • 0e2b10015fe52b7ea77a213f0c330557
  • 29a420e52b56bfadf9f0701318524bef

(以上は Kasperskyの情報。 引用元は https://kasperskycontenthub.com/wp-content/uploads/sites/43/vlpdfs/kaspersky-the-net-traveler-part1-final.pdf)


■ハッシュ情報 (MD5)

  • 01d06f85fce63444c3563fe3bd20c004
  • 03e8d330abc77a6a9d635d2e7c0e213a
  • 08e5352a2416bd32a1c07f2d6c2f11fa
  • 13b3cb819b460591c27e133e93fb8661
  • 19a0693480c82f2b7fc8659d8f91717a
  • 1a70e1e36e6afa454f6457140ac3d2ec
  • 1dcad7c8f56207b2c423353f0c328755
  • 1f26e5f9b44c28b37b6cd13283838366
  • 209c3b51cad30c85ca79a9f067ce04cd
  • 22be9cca6e4ec3af327595b890a92fec
  • 28e9faec9de3bbdeb65435bfc377d1f8
  • 294da087e6329ae78c1a5fb42b999500
  • 29a394a4ec8a30b5f36c7b874fc9fe10
  • 2a43c23a17cd2bc9074a486c47444e7c
  • 2ac8f77548e87b401767c7076adfa00d
  • 2d0e4748d857c12184ed2c94c13ec1ae
  • 2dc139d82a2a5bf027bcb6a40f75b3f4
  • 33334d8dc36c4ee7739fe2f8b448da72
  • 36f9a0e71f0b580333c61bfeaa88df39
  • 37d588b289c65f10c256e43eba939a0a
  • 382c1d692dd3cec9b046e5c0eeaf92e6
  • 39c2b2ee24373bf1ef20faff958718bc
  • 3b4cf5f1ff8c4187e41c6ab80f000491
  • 3cb96fe79aa01c82ac68c54e88918e57
  • 482f112cb7cb0293d99f8a7606acbe85
  • 4968882f189236952fd38a11586b395a
  • 4c8950da250ea135ee77a2644af414ba
  • 524aed944b7f307eea5677eda7e2079a
  • 54583ccc97c33e358510b563b1536e69
  • 57f2374d9f2a787339b0c6a5b1008a72
  • 5e35b31472a2e603a995198d8e8411ed
  • 5e7c5e8d9f5864488ddf04b662d1ad8e
  • 63f0f91e3ccf5dd00a455d3038a299f4
  • 66684b8b82fb5318a41ab7e6abb8dd42
  • 677f7c42f79a0a58760056529739fdd6
  • 6afeec03c8f4bc78fa2b3ad27392b0e7
  • 6d00e4f95fba02126b32bb74dc4fec55
  • 6d49cdbade7541d46be3fb47a0f563bb
  • 6de813a22b2b73e330085ec7c85e041b
  • 71f311a648348e7598eb55ab7618842c
  • 723129912a2d0fb4aede7100071787ef
  • 778c1764dd5c36c1eb96c49a8f8441e6
  • 7b92e9d21bc4db838bc102b289f4fd5f
  • 812d8e4d7a484bb363b139cfa08617e5
  • 81591ae1c975b8a0b5ad5546a103992c
  • 81d92e20f3078bd8e43b226308393e43
  • 83429db9cc63196bf42c691cc09b7b84
  • 852f562812305ad099372109f8e8b189
  • 85865e048183849b255c92e609a5fa25
  • 86cce64193a347b50329a32cdf08d198
  • 89bfd463ca76b62c61a548778316567d
  • 8ccea94fd83d9cb1b15a2a4befec24a2
  • 8d3036a65ac2404d4562cdb927fd3d2c
  • 8d78a9e3df1e19f9520f2bbb5f04cb54
  • 8dc61b737990385473dca9bfc826727b
  • 95113e04af14c23df607964fa9d83476
  • 9b198f1e260700bdcb4740266cd35b3f
  • 9c1c2825532b25e266d62db50952ab44
  • 9c544da8c23826379d60581cce17a483
  • a0e350787e4134ea91ccb26d17cdf167
  • a1169fb2eb93616ced7536a53fb05648
  • a431d5786d9d95bc9d04df07cbefc0a2
  • a6d89df2a80675980fb3e4a9bcc162e2
  • a77456a160890a26a8f7c019c2e77021
  • aa6f8eff83aea3ff7b8f016e67f74dac
  • af6649323daf6dbd3aef1b950588487c
  • b3840ec1299517dacd6c18c71ff5bafc
  • b8c99bc028a0a32288d858df7bf6bec1
  • b990752f8266d7648070bea7e24d326f
  • ba026e6190aee2c64ef62a4e79419bcf
  • bea6e3481c0a06ce36600d8b3cc6155b
  • c87e8a3ceefd93c7e431b753801c6bb6
  • cb9cc50b18a7c91cf4a34c624b90db5d
  • cebaaad59f1616698dec4f14d76b4c9a
  • d04a7f30c83290b86cac8d762dcc2df5
  • d218706eb07f2722ae4e0106cce27d52
  • d286c4cdf40e2dae5362eff562bccd3a
  • d2fe88fff648a0bcbfdf0f0bd042a0a4
  • d354b71116961cad955ed11cb938ca32
  • d687cfde1c4ea77de1b92ea2f9e90ad5
  • d80c29813bfbc3cbcbd469249d49ebf3
  • d9c0ca95e49b113c5751fffdb20beb3f
  • d9cf41b5d11e42dabf9470964d09c000
  • db6e36f962fdb58c8e9f8f9a781fda66
  • dc01df3c40cb4fb0bef448693475ea1b
  • def612ad0554006378f185d3b56efb57
  • e51a4cc0272a98e9eddfec16667603f4
  • e5b1ffd2ecd7e610d07d093d65639da9
  • eb5761c410b5139f23235e9b67964495
  • eefc66a1e978dc9d825f28702106d4d5
  • efa23860086c5d12d3e6b918073c717f
  • f3c5c20f5c45fc401484caf72753d778
  • fad8f37c9bd5420f49cfd5960a60fa24
  • fb3495715764cdaa547f2b040c0a9b1f
  • fc3853c2383e2fbb2af381fd1277504d
  • fe16c30782e2b16b07d5a3a1cf9dfb8f
  • ff04126a5d61a10c81bfd0a6d0a643d0

(以上は Kasperskyの情報。 引用元は https://kasperskycontenthub.com/wp-content/uploads/sites/43/vlpdfs/kaspersky-the-net-traveler-part1-final.pdf)

■IPアドレス情報

IPアドレス 備考
209.11.241.144 mothership, VPN server,C2
121.12.124.69 C2 (allen.w223.west263.cn)
61.178.77.111 C2 (wolf0.3322.org)
182.50.130.68 C2 (viprambler.com)
103.20.192.59 C2 (sunshine.59.ydli.net)
213.156.6.122 C2 (cultureacess.com)
209.130.115.38 C2 (tsgoogoo.net)
98.143.145.80 C2 (spit113.minidns.net)
96.46.4.237 C2 (sghrhd.190.20081.info)
109.169.86.178 C2 (imapupdate.com)
125.67.89.156 C2 (faceboak.net)
142.4.96.6 C2 (buynewes.com)
124.115.21.209 C2 IP
67.198.140.148 C2 (southstock.net)
96.44.179.26 C2 (vip222idc.s169.288idc.com)
235.22.123.90 C2 (gami1.com)
178.77.45.32 C2 (ra1nru.com)

(以上は Kasperskyの情報。 引用元は https://kasperskycontenthub.com/wp-content/uploads/sites/43/vlpdfs/kaspersky-the-net-traveler-part1-final.pdf)

■ドメイン名(C&Cサーバー)

  • allen.w223.west263.cn
  • andriodphone.net
  • bauer.8866.org
  • buynewes.com
  • cultureacess.com
  • discoverypeace.org
  • drag2008.com
  • eaglesey.com
  • enterairment.net
  • faceboak.net
  • gami1.com
  • globalmailru.com
  • hint09.9966.org
  • imapupdate.com
  • inwpvpn.com
  • keyboardhk.com
  • localgroupnet.com
  • mailyandexru.com
  • msnnewes.com
  • newesyahoo.com
  • newfax.net
  • pkspring.net - sinkholed by Kaspersky Lab
  • ra1nru.com
  • ramb1er.com
  • sghrhd.190.20081.info
  • southstock.net
  • spit113.minidns.net
  • tsgoogoo.net
  • vip222idc.s169.288idc.com
  • viplenta.com
  • vipmailru.com
  • viprainru.com
  • viprambler.com
  • vipyandex.com
  • vpnwork.3322.org
  • wolf0.3322.org
  • wolf001.us109.eoidc.net
  • yahooair.com
  • yangdex.org - sinkholed by Kaspersky Lab
  • zeroicelee.com

(以上は Kasperskyの情報。 引用元は https://kasperskycontenthub.com/wp-content/uploads/sites/43/vlpdfs/kaspersky-the-net-traveler-part1-final.pdf)


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2019