概要

【辞書】

• NetTraveler (Wikipedia)

https://en.wikipedia.org/wiki/NetTraveler

【概要】

攻撃種別	APT(標的型攻撃)
組織名	APT21, NetTraveler
攻撃作戦名	NetTraveler, Travnet, Netfile
使用脆弱性	CVE-2012-0158, CVE-2013-2465(Java)
攻撃方法	標的型攻撃メール(スピアフィッシングメール), 水飲み場型攻撃
マルウェア名	NetTraveler(Kaspersky), Travnet(Symantec), Netfile

• 当初の攻撃(2004年前後)
  • 40 か国で350 を超える有名企業や政府機関を標的に攻撃
• 最近の攻撃(2014年)
  • ウイグルとチベットの活動家を標的
  • 新しい暗号化方式を採用
  • 標的型攻撃メール(スピアフィッシングメール)

記事

【ニュース】

◆NetTraveler Espionage Campaign Uncovered, Links to Gh0st RAT, Titan Rain Found (Threat Post, 2013/06/04 12:35)
https://threatpost.com/net-traveler-espionage-campaign-uncovered-links-to-gh0st-rat-titan-rain-found/100865/
⇒ https://malware-log.hatenablog.com/entry/2013/06/04/000000_2

◆政府機関や軍事産業を狙うマルウェアスパイ、日本など40カ国350組織に被害 (ITmedia, 2013/06/06 06:52)
Kaspersky Labによると、世界の大手企業や政府機関などがマルウェア「NetTraveler」に感染している
http://www.itmedia.co.jp/news/articles/1306/06/news030.html
⇒ https://malware-log.hatenablog.com/entry/2013/06/06/000000_1

◆カスペルスキーがマルウェア「NetTraveler」を発見 - 日本含む40カ国で被害 (マイナビニュース, 2013/06/10 15:31)
https://news.mynavi.jp/article/20130610-a130/
⇒ https://malware-log.hatenablog.com/entry/2013/06/10/000000_1

◆Kaspersky Lab、政府機関や研究施設を標的とする「NetTraveler」に注意喚起 (マイナビニュース, 2013/06/11)
http://news.mynavi.jp/news/2013/06/11/120/index.html
⇒ https://malware-log.hatenablog.com/entry/2013/06/11/000000_1

◆40カ国の政府機関や研究施設等が標的、マルウェア「NetTraveler」 (WIRED, 2013/06/13)
http://wired.jp/2013/06/13/espionage-malware-infects-raft-of-governments-industries-around-the-world/
⇒ https://malware-log.hatenablog.com/entry/2013/06/13/000000_1

◆カスペルスキー、「NetTraveler」に注意喚起 - あらためて脆弱性に注意を (マイナビニュース, 2013/09/04)
http://news.mynavi.jp/news/2013/09/04/290/
⇒ https://malware-log.hatenablog.com/entry/2013/09/04/000000_1

【ブログ】

◆“NetTraveler is Running!” – Red Star APT Attacks Compromise High-Profile Victims (SecureList, 2013/06/04)
https://securelist.com/nettraveler-is-running-red-star-apt-attacks-compromise-high-profile-victims/35936/
⇒ https://malware-log.hatenablog.com/entry/2013/06/04/000000_1

◆NetTraveler Is Back: The ‘Red Star’ APT Returns With New Tricks (SecureList(Kaspersky), 2013/09/03)
https://securelist.com/nettraveler-is-back-the-red-star-apt-returns-with-new-tricks/57455/
⇒ https://malware-log.hatenablog.com/entry/2013/09/03/000000_2

◆サイバースパイ活動「NetTraveler」、10 年を経て大幅にバージョンアップ ‐最新APT バックドアを使用した攻撃が増加 (Kaspersky, 2014/09/10)
http://www.kaspersky.co.jp/about/news/virus/2014/vir10092014
⇒ https://malware-log.hatenablog.com/entry/2014/09/10/000000_2

◆NetTraveler APT Targets Russian, European Interests (Proofpoint, 2016/07/07)
https://www.proofpoint.com/us/threat-insight/post/nettraveler-apt-targets-russian-european-interests
⇒ https://malware-log.hatenablog.com/entry/2016/07/07/000000_3

【資料】

◆NetFile-801.exe (Kaspersky)
https://kasperskycontenthub.com/wp-content/uploads/sites/43/vlpdfs/kaspersky-the-net-traveler-part1-final.pdf
⇒ https://malware-log.hatenablog.com/entry/2011/04/28/000000

【図表】

出典: https://securelist.com/nettraveler-is-running-red-star-apt-attacks-compromise-high-profile-victims/35936/

【関連まとめ記事】

◆全体まとめ
　◆攻撃組織 / Actor (まとめ)

◆標的型攻撃組織 / APT (まとめ)
https://malware-log.hatenablog.com/entry/APT

【インディケータ情報】

■ハッシュ情報(MD5)

c263b4a505d8dd11ef9d392372767633	new.jar
15e8a1c4d5021e76f933cb1bc895b9c2	file.tmp

(以上は Kasperskyの情報。 引用元は https://securelist.com/nettraveler-is-back-the-red-star-apt-returns-with-new-tricks/57455/)

■IPアドレス

• 198.211.18.93

(以上は Kasperskyの情報。 引用元は https://securelist.com/nettraveler-is-back-the-red-star-apt-returns-with-new-tricks/57455/)

■URL

• hxxp://worldmaprsh.com/gzh/nettr/filetransfer.asp

(以上は Kasperskyの情報。 引用元は https://securelist.com/nettraveler-is-back-the-red-star-apt-returns-with-new-tricks/57455/)

■ハッシュ情報 (MD5: Spear-phishing samples)

• 36ed86602661bb3a7a55e69fde90ee73
• 6eb5932b0ed20f11f1a887bcfbdde10f
• 059a7482efee3b2abf67c12d210cb2f7
• e5954b8204eb321d20bed4a86b3cef34
• 63494c74db9bfc2bba3983698c952de9
• b600089a93275fa93558695b707b87ad
• f4f14d4a1e34f62eeb9a90b5c8b2cfc1
• 0e2b10015fe52b7ea77a213f0c330557
• 29a420e52b56bfadf9f0701318524bef

(以上は Kasperskyの情報。 引用元は https://kasperskycontenthub.com/wp-content/uploads/sites/43/vlpdfs/kaspersky-the-net-traveler-part1-final.pdf)

■ハッシュ情報 (MD5)

• 01d06f85fce63444c3563fe3bd20c004
• 03e8d330abc77a6a9d635d2e7c0e213a
• 08e5352a2416bd32a1c07f2d6c2f11fa
• 13b3cb819b460591c27e133e93fb8661
• 19a0693480c82f2b7fc8659d8f91717a
• 1a70e1e36e6afa454f6457140ac3d2ec
• 1dcad7c8f56207b2c423353f0c328755
• 1f26e5f9b44c28b37b6cd13283838366
• 209c3b51cad30c85ca79a9f067ce04cd
• 22be9cca6e4ec3af327595b890a92fec
• 28e9faec9de3bbdeb65435bfc377d1f8
• 294da087e6329ae78c1a5fb42b999500
• 29a394a4ec8a30b5f36c7b874fc9fe10
• 2a43c23a17cd2bc9074a486c47444e7c
• 2ac8f77548e87b401767c7076adfa00d
• 2d0e4748d857c12184ed2c94c13ec1ae
• 2dc139d82a2a5bf027bcb6a40f75b3f4
• 33334d8dc36c4ee7739fe2f8b448da72
• 36f9a0e71f0b580333c61bfeaa88df39
• 37d588b289c65f10c256e43eba939a0a
• 382c1d692dd3cec9b046e5c0eeaf92e6
• 39c2b2ee24373bf1ef20faff958718bc
• 3b4cf5f1ff8c4187e41c6ab80f000491
• 3cb96fe79aa01c82ac68c54e88918e57
• 482f112cb7cb0293d99f8a7606acbe85
• 4968882f189236952fd38a11586b395a
• 4c8950da250ea135ee77a2644af414ba
• 524aed944b7f307eea5677eda7e2079a
• 54583ccc97c33e358510b563b1536e69
• 57f2374d9f2a787339b0c6a5b1008a72
• 5e35b31472a2e603a995198d8e8411ed
• 5e7c5e8d9f5864488ddf04b662d1ad8e
• 63f0f91e3ccf5dd00a455d3038a299f4
• 66684b8b82fb5318a41ab7e6abb8dd42
• 677f7c42f79a0a58760056529739fdd6
• 6afeec03c8f4bc78fa2b3ad27392b0e7
• 6d00e4f95fba02126b32bb74dc4fec55
• 6d49cdbade7541d46be3fb47a0f563bb
• 6de813a22b2b73e330085ec7c85e041b
• 71f311a648348e7598eb55ab7618842c
• 723129912a2d0fb4aede7100071787ef
• 778c1764dd5c36c1eb96c49a8f8441e6
• 7b92e9d21bc4db838bc102b289f4fd5f
• 812d8e4d7a484bb363b139cfa08617e5
• 81591ae1c975b8a0b5ad5546a103992c
• 81d92e20f3078bd8e43b226308393e43
• 83429db9cc63196bf42c691cc09b7b84
• 852f562812305ad099372109f8e8b189
• 85865e048183849b255c92e609a5fa25
• 86cce64193a347b50329a32cdf08d198
• 89bfd463ca76b62c61a548778316567d
• 8ccea94fd83d9cb1b15a2a4befec24a2
• 8d3036a65ac2404d4562cdb927fd3d2c
• 8d78a9e3df1e19f9520f2bbb5f04cb54
• 8dc61b737990385473dca9bfc826727b
• 95113e04af14c23df607964fa9d83476
• 9b198f1e260700bdcb4740266cd35b3f
• 9c1c2825532b25e266d62db50952ab44
• 9c544da8c23826379d60581cce17a483
• a0e350787e4134ea91ccb26d17cdf167
• a1169fb2eb93616ced7536a53fb05648
• a431d5786d9d95bc9d04df07cbefc0a2
• a6d89df2a80675980fb3e4a9bcc162e2
• a77456a160890a26a8f7c019c2e77021
• aa6f8eff83aea3ff7b8f016e67f74dac
• af6649323daf6dbd3aef1b950588487c
• b3840ec1299517dacd6c18c71ff5bafc
• b8c99bc028a0a32288d858df7bf6bec1
• b990752f8266d7648070bea7e24d326f
• ba026e6190aee2c64ef62a4e79419bcf
• bea6e3481c0a06ce36600d8b3cc6155b
• c87e8a3ceefd93c7e431b753801c6bb6
• cb9cc50b18a7c91cf4a34c624b90db5d
• cebaaad59f1616698dec4f14d76b4c9a
• d04a7f30c83290b86cac8d762dcc2df5
• d218706eb07f2722ae4e0106cce27d52
• d286c4cdf40e2dae5362eff562bccd3a
• d2fe88fff648a0bcbfdf0f0bd042a0a4
• d354b71116961cad955ed11cb938ca32
• d687cfde1c4ea77de1b92ea2f9e90ad5
• d80c29813bfbc3cbcbd469249d49ebf3
• d9c0ca95e49b113c5751fffdb20beb3f
• d9cf41b5d11e42dabf9470964d09c000
• db6e36f962fdb58c8e9f8f9a781fda66
• dc01df3c40cb4fb0bef448693475ea1b
• def612ad0554006378f185d3b56efb57
• e51a4cc0272a98e9eddfec16667603f4
• e5b1ffd2ecd7e610d07d093d65639da9
• eb5761c410b5139f23235e9b67964495
• eefc66a1e978dc9d825f28702106d4d5
• efa23860086c5d12d3e6b918073c717f
• f3c5c20f5c45fc401484caf72753d778
• fad8f37c9bd5420f49cfd5960a60fa24
• fb3495715764cdaa547f2b040c0a9b1f
• fc3853c2383e2fbb2af381fd1277504d
• fe16c30782e2b16b07d5a3a1cf9dfb8f
• ff04126a5d61a10c81bfd0a6d0a643d0

(以上は Kasperskyの情報。 引用元は https://kasperskycontenthub.com/wp-content/uploads/sites/43/vlpdfs/kaspersky-the-net-traveler-part1-final.pdf)

■IPアドレス情報

IPアドレス	備考
209.11.241.144	mothership, VPN server,C2
121.12.124.69	C2 (allen.w223.west263.cn)
61.178.77.111	C2 (wolf0.3322.org)
182.50.130.68	C2 (viprambler.com)
103.20.192.59	C2 (sunshine.59.ydli.net)
213.156.6.122	C2 (cultureacess.com)
209.130.115.38	C2 (tsgoogoo.net)
98.143.145.80	C2 (spit113.minidns.net)
96.46.4.237	C2 (sghrhd.190.20081.info)
109.169.86.178	C2 (imapupdate.com)
125.67.89.156	C2 (faceboak.net)
142.4.96.6	C2 (buynewes.com)
124.115.21.209	C2 IP
67.198.140.148	C2 (southstock.net)
96.44.179.26	C2 (vip222idc.s169.288idc.com)
235.22.123.90	C2 (gami1.com)
178.77.45.32	C2 (ra1nru.com)

(以上は Kasperskyの情報。 引用元は https://kasperskycontenthub.com/wp-content/uploads/sites/43/vlpdfs/kaspersky-the-net-traveler-part1-final.pdf)

■ドメイン名(C&Cサーバー)

• allen.w223.west263.cn
• andriodphone.net
• bauer.8866.org
• buynewes.com
• cultureacess.com
• discoverypeace.org
• drag2008.com
• eaglesey.com
• enterairment.net
• faceboak.net
• gami1.com
• globalmailru.com
• hint09.9966.org
• imapupdate.com
• inwpvpn.com
• keyboardhk.com
• localgroupnet.com
• mailyandexru.com
• msnnewes.com
• newesyahoo.com
• newfax.net
• pkspring.net - sinkholed by Kaspersky Lab
• ra1nru.com
• ramb1er.com
• sghrhd.190.20081.info
• southstock.net
• spit113.minidns.net
• tsgoogoo.net
• vip222idc.s169.288idc.com
• viplenta.com
• vipmailru.com
• viprainru.com
• viprambler.com
• vipyandex.com
• vpnwork.3322.org
• wolf0.3322.org
• wolf001.us109.eoidc.net
• yahooair.com
• yangdex.org - sinkholed by Kaspersky Lab
• zeroicelee.com

(以上は Kasperskyの情報。 引用元は https://kasperskycontenthub.com/wp-content/uploads/sites/43/vlpdfs/kaspersky-the-net-traveler-part1-final.pdf)