TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究・参照ログ

Daserf (まとめ)

【目次】

概要

【辞書】

◆Daserf (Malpedia)
https://malpedia.caad.fkie.fraunhofer.de/details/win.daserf

◆~ Daserf ~ ~ アジアのサイバー攻撃グループでの使用が疑われるボット ~ (@Police, 2016/10)
https://www.npa.go.jp/cyberpolice/malwareanalysis/pdf/H2810_01_mal_ana.pdf

【概要】

■機能

シェルコマンドの実行
情報のダウンロード/アップロード
スクリーンショットの取得
キー入力情報の記録



記事

【ニュース】

■2008年

◆中国・ロシアのハッカー最新事情 (ITPro, 2008/01/07)
http://itpro.nikkeibp.co.jp/article/COLUMN/20071225/290187/?rt=nocnt
https://malware-log.hatenablog.com/entry/2008/01/07/000000

■2015年

◆Detecting Daserf variants using Security Analytics (RSA, 2015/09/28)
https://community.rsa.com/community/products/netwitness/blog/2015/09/28/detecting-daserf-variants-using-security-analytics
https://malware-log.hatenablog.com/entry/2015/09/28/000000


■2016年

◆Tick Cyber-Espionage Group Targets Japanese Companies with Daserf Backdoors (Softpedia, 2016/04/29)
http://news.softpedia.com/news/tick-cyber-espionage-group-targets-japanese-companies-with-daserf-backdoors-503555.shtml

◆TICK CYBERESPIONAGE GROUP ZEROS IN ON JAPAN (Information Security Newspaper, 2016/04/30)
http://www.securitynewspaper.com/2016/04/30/tick-cyberespionage-group-zeros-japan/

◆日本を狙い始めたサイバースパイグループ「Tick」 (Symantec, 2016/05/02)
トロイの木馬 Daserf に感染させることを狙って、Web サイトへの侵入とスピア型フィッシングメールが利用されています
https://www.symantec.com/connect/nl/blogs/tick?page=1

◆10年前から密かに活動していたサイバースパイ集団「Tick」、日本のテクノロジー系/水産工学系/報道系の特定企業に集中攻撃 (Internet Watch, 2016/05/06 19:47)
http://internet.watch.impress.co.jp/docs/news/756214.html
https://malware-log.hatenablog.com/entry/2016/05/06/000000_1

◆ラック、マルウェア「Daserf」の実態レポート「日本の重要インフラ事業者を狙った攻撃者」を公開 (EnterpriseZine, 2016/08/02 15:00)
https://enterprisezine.jp/article/detail/8333
https://malware-log.hatenablog.com/entry/2016/08/02/000000

◆重要インフラを狙うマルウェア「Daserf」、長期間標的組織に潜伏の可能性(ラック) (NetSecurity, 2016/08/03)
http://scan.netsecurity.ne.jp/article/2016/08/03/38799.html
https://malware-log.hatenablog.com/entry/2016/08/03/000000_2

【ブログ】

■2016年

◆APT Daserf (Jul Ismail, 2016/11/29)

APT Campaign Targets Japanese Critical Infrastructure

http://julismail.staff.telkomuniversity.ac.id/apt-daserf/
https://malware-log.hatenablog.com/entry/2016/11/29/000000


■2017年

◆BRONZE BUTLER Targets Japanese Enterprises (SecureWorks, 2017/10/12)
https://www.secureworks.com/research/bronze-butler-targets-japanese-businesses

◆REDBALDKNIGHT/BRONZE BUTLER’s Daserf Backdoor Now Using Steganography (Trendmicro, 2017/11/07 04:34)
http://blog.trendmicro.com/trendlabs-security-intelligence/redbaldknight-bronze-butler-daserf-backdoor-now-using-steganography/

◆標的型サイバー攻撃集団「BRONZE BUTLER」によるバックドア型マルウェア「DASERF」、ステガノグラフィを利用 (Trendmicro, 2017/11/14)
http://blog.trendmicro.co.jp/archives/16375

【公開情報】

■2017年

◆“Tick” Group Continues Attacks (UNIT42(paloalto), 2017/07/24 18:00)
https://researchcenter.paloaltonetworks.com/2017/07/unit42-tick-group-continues-attacks/

◆「Tick」グループによる日本や韓国への継続した巧妙な攻撃~ 日本企業の慣習にならい拡張子の変更をお願いする、ソーシャルエンジニアリング的手法を利用 (UNIT42(paloalto), 2017/07/24 18:00)
https://www.paloaltonetworks.jp/company/in-the-news/2017/tick-continues-cyber-espionage-attacks

【図表】

f:id:tanigawa:20180904202505j:plain
トロイの木馬「Daserf」の地域別感染数 (2016/05)
出典: https://internet.watch.impress.co.jp/docs/news/756214.html
https://malware-log.hatenablog.com/entry/2016/05/06/000000_1

f:id:tanigawa:20171015163525p:plain
Tickが使用するマルウェアの利用時期
出典: https://www.secureworks.com/research/bronze-butler-targets-japanese-businesses

時期 対象 攻撃手法
2013年2月 不明 Flash 脆弱性(CVE-2013-0633、CVE-2013-0634)を利用した攻撃
2014年3月 韓国 - 防衛産業 Netboy 変形で攻撃。韓国で多数の感染報告
2015年1月 韓国 - 大企業 A Bisodown 変形で攻撃
2015年5月 韓国 - 大企業 B Netboy 変形で攻撃
2015年6月 アジア - 金融機関 確認不可
2016年2月 韓国 - 海洋産業 Daserf 変形で攻撃。2016年6月、韓国のキャリアで発見された Daserfマルウェアと同じ
2016年6月 日本 - 旅行会社 LAC レポートによる
2016年6月 韓国 - キャリア Daserf 変形で攻撃
2016年9月 韓国 - エネルギー Datper 変形で攻撃
2016年12月 日本 - 企業 日本の資産管理ソフトウェアの脆弱性(CVE-2016-7836)を攻撃して感染
2017年4月 韓国 - 未確認 2018年パロアルトユニット42を通じて韓国のセキュアUSBへの攻撃が知られた
2018年5月 韓国 - 国防分野推定 Bisodown 変形で攻撃。軍事関連内容に偽装したファイル(decoy)などからみて国防分野の関係者がターゲットと推定される
2018年5月 韓国 - 政治機関 Bisodown 利用攻撃
2018年8月 韓国 - 国防分野 Bisodown 変形で攻撃。感染システムで Linkinfo.dllファイル名を持つ Keyloggerと一緒に発見
2018年9月 韓国 - 政治機関 Datper 変形で攻撃
2019年1月 韓国 - 情報セキュリティ JPCERT で 2019年2月に公開した Datper 変形で攻撃
2019年1月 韓国 - Webホスティング 2019年1月、韓国のセキュリティベンダーで発見されたマルウェアと同じ
2019年2月 韓国 - 電子部品 JPCERTで2019年2月に公開した Datper 変形で攻撃
2019年2月 韓国-ITサービス 2019年2月、韓国の電子部品の攻撃マルウェアと同じ Datper 変形で攻撃
【IoC情報】

◆Daserf (IoC (TT Malware Log))
https://ioc.hatenablog.com/entry/2017/11/07/000000

【関連情報】

◆Datper (まとめ)
http://malware-log.hatenablog.com/entry/Datper

関連情報


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2020