【目次】
概要
【辞書】
◆Daserf (Malpedia)
https://malpedia.caad.fkie.fraunhofer.de/details/win.daserf
◆~ Daserf ~ ~ アジアのサイバー攻撃グループでの使用が疑われるボット ~ (@Police, 2016/10)
https://www.npa.go.jp/cyberpolice/malwareanalysis/pdf/H2810_01_mal_ana.pdf
【概要】
■機能
シェルコマンドの実行
情報のダウンロード/アップロード
スクリーンショットの取得
キー入力情報の記録
記事
【ニュース】
■2008年
◆中国・ロシアのハッカー最新事情 (ITPro, 2008/01/07)
http://itpro.nikkeibp.co.jp/article/COLUMN/20071225/290187/?rt=nocnt
⇒ https://malware-log.hatenablog.com/entry/2008/01/07/000000
■2015年
◆Detecting Daserf variants using Security Analytics (RSA, 2015/09/28)
https://community.rsa.com/community/products/netwitness/blog/2015/09/28/detecting-daserf-variants-using-security-analytics
⇒ https://malware-log.hatenablog.com/entry/2015/09/28/000000
■2016年
◆Tick Cyber-Espionage Group Targets Japanese Companies with Daserf Backdoors (Softpedia, 2016/04/29)
http://news.softpedia.com/news/tick-cyber-espionage-group-targets-japanese-companies-with-daserf-backdoors-503555.shtml
◆TICK CYBERESPIONAGE GROUP ZEROS IN ON JAPAN (Information Security Newspaper, 2016/04/30)
http://www.securitynewspaper.com/2016/04/30/tick-cyberespionage-group-zeros-japan/
◆日本を狙い始めたサイバースパイグループ「Tick」 (Symantec, 2016/05/02)
トロイの木馬 Daserf に感染させることを狙って、Web サイトへの侵入とスピア型フィッシングメールが利用されています
https://www.symantec.com/connect/nl/blogs/tick?page=1
◆10年前から密かに活動していたサイバースパイ集団「Tick」、日本のテクノロジー系/水産工学系/報道系の特定企業に集中攻撃 (Internet Watch, 2016/05/06 19:47)
http://internet.watch.impress.co.jp/docs/news/756214.html
⇒ https://malware-log.hatenablog.com/entry/2016/05/06/000000_1
◆ラック、マルウェア「Daserf」の実態レポート「日本の重要インフラ事業者を狙った攻撃者」を公開 (EnterpriseZine, 2016/08/02 15:00)
https://enterprisezine.jp/article/detail/8333
⇒ https://malware-log.hatenablog.com/entry/2016/08/02/000000
◆重要インフラを狙うマルウェア「Daserf」、長期間標的組織に潜伏の可能性(ラック) (NetSecurity, 2016/08/03)
http://scan.netsecurity.ne.jp/article/2016/08/03/38799.html
⇒ https://malware-log.hatenablog.com/entry/2016/08/03/000000_2
【ブログ】
■2016年
◆APT Daserf (Jul Ismail, 2016/11/29)
APT Campaign Targets Japanese Critical Infrastructure
http://julismail.staff.telkomuniversity.ac.id/apt-daserf/
⇒ https://malware-log.hatenablog.com/entry/2016/11/29/000000
■2017年
◆BRONZE BUTLER Targets Japanese Enterprises (SecureWorks, 2017/10/12)
https://www.secureworks.com/research/bronze-butler-targets-japanese-businesses
◆REDBALDKNIGHT/BRONZE BUTLER’s Daserf Backdoor Now Using Steganography (Trendmicro, 2017/11/07 04:34)
http://blog.trendmicro.com/trendlabs-security-intelligence/redbaldknight-bronze-butler-daserf-backdoor-now-using-steganography/
◆標的型サイバー攻撃集団「BRONZE BUTLER」によるバックドア型マルウェア「DASERF」、ステガノグラフィを利用 (Trendmicro, 2017/11/14)
http://blog.trendmicro.co.jp/archives/16375
【公開情報】
■2017年
◆“Tick” Group Continues Attacks (UNIT42(paloalto), 2017/07/24 18:00)
https://researchcenter.paloaltonetworks.com/2017/07/unit42-tick-group-continues-attacks/
◆「Tick」グループによる日本や韓国への継続した巧妙な攻撃~ 日本企業の慣習にならい拡張子の変更をお願いする、ソーシャルエンジニアリング的手法を利用 (UNIT42(paloalto), 2017/07/24 18:00)
https://www.paloaltonetworks.jp/company/in-the-news/2017/tick-continues-cyber-espionage-attacks
【資料】
■2016年
◆CYBER GRID VIEW Vol.2 PDF版 (Lac, 2016/08/02)
https://www.lac.co.jp/lacwatch/pdf/20160802_cgview_vol2_a001t.pdf
⇒ https://malware-log.hatenablog.com/entry/2016/08/02/000000_2
■2017年
◆REDBALDKNIGHT/BRONZE BUTLER’s Daserf Backdoor Now Using Steganography (Trendmicro, 2017/11/07)
https://documents.trendmicro.com/assets/appendix-redbaldknight-bronze-butler-daserf-backdoor-steganography.pdf
⇒ http://malware-log.hatenablog.com/entry/2017/11/07/000000_3
■2019年
◆Tick グループの最新攻撃事例分析 (Ahnlab, 2019/04/22)
https://jp.ahnlab.com/global/upload/download/asecreport/PressAhn_Vol64.pdf
⇒https://malware-log.hatenablog.com/entry/2019/04/22/000000_5
【図表】
トロイの木馬「Daserf」の地域別感染数 (2016/05)
出典: https://internet.watch.impress.co.jp/docs/news/756214.html
⇒ https://malware-log.hatenablog.com/entry/2016/05/06/000000_1
Tickが使用するマルウェアの利用時期
出典: https://www.secureworks.com/research/bronze-butler-targets-japanese-businesses
| 時期 | 対象 | 攻撃手法 |
|---|---|---|
| 2013年2月 | 不明 | Flash 脆弱性(CVE-2013-0633、CVE-2013-0634)を利用した攻撃 |
| 2014年3月 | 韓国 - 防衛産業 | Netboy 変形で攻撃。韓国で多数の感染報告 |
| 2015年1月 | 韓国 - 大企業 A | Bisodown 変形で攻撃 |
| 2015年5月 | 韓国 - 大企業 B | Netboy 変形で攻撃 |
| 2015年6月 | アジア - 金融機関 | 確認不可 |
| 2016年2月 | 韓国 - 海洋産業 | Daserf 変形で攻撃。2016年6月、韓国のキャリアで発見された Daserfマルウェアと同じ |
| 2016年6月 | 日本 - 旅行会社 | LAC レポートによる |
| 2016年6月 | 韓国 - キャリア | Daserf 変形で攻撃 |
| 2016年9月 | 韓国 - エネルギー | Datper 変形で攻撃 |
| 2016年12月 | 日本 - 企業 | 日本の資産管理ソフトウェアの脆弱性(CVE-2016-7836)を攻撃して感染 |
| 2017年4月 | 韓国 - 未確認 | 2018年パロアルトユニット42を通じて韓国のセキュアUSBへの攻撃が知られた |
| 2018年5月 | 韓国 - 国防分野推定 | Bisodown 変形で攻撃。軍事関連内容に偽装したファイル(decoy)などからみて国防分野の関係者がターゲットと推定される |
| 2018年5月 | 韓国 - 政治機関 | Bisodown 利用攻撃 |
| 2018年8月 | 韓国 - 国防分野 | Bisodown 変形で攻撃。感染システムで Linkinfo.dllファイル名を持つ Keyloggerと一緒に発見 |
| 2018年9月 | 韓国 - 政治機関 | Datper 変形で攻撃 |
| 2019年1月 | 韓国 - 情報セキュリティ | JPCERT で 2019年2月に公開した Datper 変形で攻撃 |
| 2019年1月 | 韓国 - Webホスティング | 2019年1月、韓国のセキュリティベンダーで発見されたマルウェアと同じ |
| 2019年2月 | 韓国 - 電子部品 | JPCERTで2019年2月に公開した Datper 変形で攻撃 |
| 2019年2月 | 韓国-ITサービス | 2019年2月、韓国の電子部品の攻撃マルウェアと同じ Datper 変形で攻撃 |
【IoC情報】
◆Daserf (IoC (TT Malware Log))
https://ioc.hatenablog.com/entry/2017/11/07/000000
【関連情報】
◆Datper (まとめ)
http://malware-log.hatenablog.com/entry/Datper
関連情報
【関連まとめ記事】
◆標的型攻撃マルウェア (まとめ)
https://malware-log.hatenablog.com/entry/APT_Malware
◆攻撃組織 / Actor (まとめ)
◆標的型攻撃組織 / APT (まとめ)
◆Tick / Bronze Butler (まとめ)
http://malware-log.hatenablog.com/entry/Tick
