【要点】
◎中国を拠点に活動するサイバー攻撃組織 Tick が使用するマルウェア(RAT)。標的型攻撃メール、SKYSEAの脆弱性を狙った攻撃などで感染し、感染を拡大する。通信にはhttpプロトコルが使用されており、GETメソッドとPOSTメソッドが使用され、データは複雑なアルゴリズムで暗号化されている
【辞書】
◆Datper (Malpedia)
https://malpedia.caad.fkie.fraunhofer.de/details/win.datper
【ニュース】
◆ラック、マルウェア「Daserf」の実態レポート「日本の重要インフラ事業者を狙った攻撃者」を公開 (EnterpriseZine, 2016/08/02 15:00)
https://enterprisezine.jp/article/detail/8333
⇒ https://malware-log.hatenablog.com/entry/2016/08/02/000000
◆重要インフラを狙うマルウェア「Daserf」、長期間標的組織に潜伏の可能性(ラック) (NetSecurity, 2016/08/03)
http://scan.netsecurity.ne.jp/article/2016/08/03/38799.html
⇒ https://malware-log.hatenablog.com/entry/2016/08/03/000000_2
◆日本企業を狙う中国のサイバースパイ集団、知的財産や製品情報が被害に (ITmedia, 2017/10/16 08:45)
http://www.itmedia.co.jp/enterprise/articles/1710/16/news050.html
⇒ https://malware-log.hatenablog.com/entry/2017/10/16/000000_10
◆日本の製造業や重工業を狙うサイバーグループ「BRONZE BUTLER」に注意 (マイナビニュース, 2017/10/17)
http://news.mynavi.jp/news/2017/10/17/127/
⇒ https://malware-log.hatenablog.com/entry/2017/10/17/000000_11
◆モバイルWi-Fiルーターがマルウェアの感染経路になっていた! 日本を狙った「XXMM」亜種の特徴的な感染経路 (Internet Watch, 2017/12/27)
活動が続く「The Bald Knight Rises」の洗練された攻撃手法、カスペルスキーが解説
https://internet.watch.impress.co.jp/docs/news/1099223.html
⇒ https://malware-log.hatenablog.com/entry/2017/12/27/000000
◆攻撃グループ「Tick」、資産管理ソフトへの脆弱性攻撃を継続 - 標的型攻撃も (Security NEXT, 2019/02/22)
http://www.security-next.com/102741
⇒ https://malware-log.hatenablog.com/entry/2019/02/22/000000_1
【ブログ】
◆BRONZE BUTLER Targets Japanese Enterprises (SecureWorks, 2017/10/12)
https://www.secureworks.com/research/bronze-butler-targets-japanese-businesses
⇒ https://malware-log.hatenablog.com/entry/2017/10/12/000000_6
◆日本と韓国を狙う標的型攻撃:The Bald Knight Rises (Kaspersky, 2018/02/02)
https://blog.kaspersky.co.jp/the-bald-knight-rises-apt/19376/
⇒ https://malware-log.hatenablog.com/entry/2018/02/02/000000_3
◆日韓両国で展開されるターゲット型攻撃の実態 (Ahnlab, 2018/04/04)
https://mjp.ahnlab.com/site/securitycenter/securitycenterboard/securityInsightView.do?seq=2463&curPage=3
⇒ https://malware-log.hatenablog.com/entry/2018/04/04/000000_4
◆Tracking Tick Through Recent Campaigns Targeting East Asia (TALOS, 2018/10/18)
https://blog.talosintelligence.com/2018/10/tracking-tick-through-recent-campaigns.html
⇒ https://malware-log.hatenablog.com/entry/2018/10/18/000000_3
◆東アジアを標的にした最近のキャンペーンを通じて Tick を追跡 (Talos(CISCO), 2018/11/08)
https://gblogs.cisco.com/jp/2018/11/talos-tracking-tick-through-recent-campaigns/
⇒ https://malware-log.hatenablog.com/entry/2018/11/08/000000_6
【公開情報】
◆日本企業を狙う高度なサイバー攻撃の全貌 – BRONZE BUTLER (SecureWorks, 2017/06/23)
https://www.secureworks.jp/resources/rp-bronze-butler
⇒ https://malware-log.hatenablog.com/entry/2017/06/23/000000_3
◆“Tick” Group Continues Attacks (UNIT42(paloalto), 2017/07/24 18:00)
https://researchcenter.paloaltonetworks.com/2017/07/unit42-tick-group-continues-attacks/
⇒ https://malware-log.hatenablog.com/entry/2017/07/24/000000_2
◆「Tick」グループによる日本や韓国への継続した巧妙な攻撃~ 日本企業の慣習にならい拡張子の変更をお願いする、ソーシャルエンジニアリング的手法を利用 (UNIT42(paloalto), 2017/07/24 18:00)
https://www.paloaltonetworks.jp/company/in-the-news/2017/tick-continues-cyber-espionage-attacks
⇒ https://malware-log.hatenablog.com/entry/2017/07/24/000000_2
◆マルウエアDatperをプロキシログから検知する(2017-08-17) (JPCERT/CC, 2017/08/17)
https://www.jpcert.or.jp/magazine/acreport-datper.html
⇒ https://malware-log.hatenablog.com/entry/2017/08/17/000000_5
◆マルウエア Datper をプロキシログから検知する方法 (JPCERT/CC, 2017/08/23)
https://www.jpcert.or.jp/tips/2017/wr173201.html
⇒ https://malware-log.hatenablog.com/entry/2017/08/23/000000_2
◆マルウエアDatperの痕跡を調査する~ログ分析ツール(Splunk・Elastic Stack)を活用した調査~ (2017-09-25) (JPCERT/CC, 2017/09/25)
https://blogs.jpcert.or.jp/ja/2017/09/search-datper.html
⇒ https://malware-log.hatenablog.com/entry/2017/09/25/000000_8
◆マルウェア Datper の痕跡を調査するためのログ分析ツール活用方法 (JPCERT/CC, 2017/10/04)
https://www.jpcert.or.jp/tips/2017/wr173801.html
⇒ http://malware-log.hatenablog.com/entry/2017/10/04/000000_7
◆攻撃グループTickによる日本の組織をターゲットにした攻撃活動 (JPCERT/CC, 2019/02/19)
https://blogs.jpcert.or.jp/ja/2019/02/tick-activity.html
⇒ https://malware-log.hatenablog.com/entry/2019/02/19/000000_2
◆日本の製造業を狙うTickグループ (Macnica Networks, 2020/01/28)
https://www.macnica.net/mpressioncss/feature_05.html/
⇒ https://malware-log.hatenablog.com/entry/2020/01/28/000000_8
【資料】
◆CYBER GRID VIEW Vol.2 PDF版 (Lac, 2016/08/02)
https://www.lac.co.jp/lacwatch/pdf/20160802_cgview_vol2_a001t.pdf
⇒ https://malware-log.hatenablog.com/entry/2016/08/02/000000_2
◆日本を狙うサイバーエスピオナージ (標的型攻撃)の動向 2018 年上半期 (Macnica Networks, 2018/10/01)
https://www.macnica.net/file/mpressioncss_2018-1h-report_mnc_rev3_nopw.pdf
⇒ https://malware-log.hatenablog.com/entry/2018/10/01/000000_7
◆標的型攻撃の実態と対策アプローチ 第2版 (Macnica Networks, 2019/04/01)
https://www.macnica.net/mpressioncss/feature_03.html/
⇒ https://malware-log.hatenablog.com/entry/2019/04/01/000000_9
◆Tick グループの最新攻撃事例分析 (Ahnlab, 2019/04/22)
https://jp.ahnlab.com/global/upload/download/asecreport/PressAhn_Vol64.pdf
⇒ https://malware-log.hatenablog.com/entry/2019/04/22/000000_5
【図表】
2018 年度に観測された標的型攻撃と標的業種
出典: https://www.macnica.net/mpressioncss/feature_03.html/
| 時期 | 対象 | 攻撃手法 |
|---|---|---|
| 2013年2月 | 不明 | Flash 脆弱性(CVE-2013-0633、CVE-2013-0634)を利用した攻撃 |
| 2014年3月 | 韓国 - 防衛産業 | Netboy 変形で攻撃。韓国で多数の感染報告 |
| 2015年1月 | 韓国 - 大企業 A | Bisodown 変形で攻撃 |
| 2015年5月 | 韓国 - 大企業 B | Netboy 変形で攻撃 |
| 2015年6月 | アジア - 金融機関 | 確認不可 |
| 2016年2月 | 韓国 - 海洋産業 | Daserf 変形で攻撃。2016年6月、韓国のキャリアで発見された Daserfマルウェアと同じ |
| 2016年6月 | 日本 - 旅行会社 | LAC レポートによる |
| 2016年6月 | 韓国 - キャリア | Daserf 変形で攻撃 |
| 2016年9月 | 韓国 - エネルギー | Datper 変形で攻撃 |
| 2016年12月 | 日本 - 企業 | 日本の資産管理ソフトウェアの脆弱性(CVE-2016-7836)を攻撃して感染 |
| 2017年4月 | 韓国 - 未確認 | 2018年パロアルトユニット42を通じて韓国のセキュアUSBへの攻撃が知られた |
| 2018年5月 | 韓国 - 国防分野推定 | Bisodown 変形で攻撃。軍事関連内容に偽装したファイル(decoy)などからみて国防分野の関係者がターゲットと推定される |
| 2018年5月 | 韓国 - 政治機関 | Bisodown 利用攻撃 |
| 2018年8月 | 韓国 - 国防分野 | Bisodown 変形で攻撃。感染システムで Linkinfo.dllファイル名を持つ Keyloggerと一緒に発見 |
| 2018年9月 | 韓国 - 政治機関 | Datper 変形で攻撃 |
| 2019年1月 | 韓国 - 情報セキュリティ | JPCERT で 2019年2月に公開した Datper 変形で攻撃 |
| 2019年1月 | 韓国 - Webホスティング | 2019年1月、韓国のセキュリティベンダーで発見されたマルウェアと同じ |
| 2019年2月 | 韓国 - 電子部品 | JPCERTで2019年2月に公開した Datper 変形で攻撃 |
| 2019年2月 | 韓国-ITサービス | 2019年2月、韓国の電子部品の攻撃マルウェアと同じ Datper 変形で攻撃 |
【関連情報】
出典: https://www.secureworks.com/research/bronze-butler-targets-japanese-businesses
【関連まとめ記事】
◆標的型攻撃マルウェア (まとめ)
https://malware-log.hatenablog.com/entry/APT_Malware
◆Daserf (まとめ)
http://malware-log.hatenablog.com/entry/Daserf
【インディケータ情報】
■ハッシュ情報(Sha256) -- Datper (LZNT1) --
| efa68fcbd455a72276062fb513b71547ea11fedf4db10a476cc6c9a2fa4f67f7 |
| 12d9b4ec7f8ae42c67a6fd030efb027137dbe29e63f6f669eb932d0299fbe82f |
| 331ac0965b50958db49b7794cc819b2945d7b5e5e919c185d83e997e205f107b |
| 90ac1fb148ded4f46949a5fea4cd8c65d4ea9585046d66459328a5866f8198b2 |
| 2384e8ad8eee6db1e69b3ee7b6b3d01ae09f99a86901a0a87fb2788c1115090c |
| 7d70d659c421b50604ce3e0a1bf423ab7e54b9df361360933bac3bb852a31849 |
| 303b75a7c350d26116fe341d77105a33c8cb1da3dc82424c3eac401820e868dd |
| 340906b6b3a4149875dea37221843cb8b67c51eb4520b39956cb6761ef0a3c5d |
| b3cc83978bbc4f5603e93ec8c687a7007a3f7dbfbae01bff0a30332b06ea44d9 |
■ハッシュ情報(Sha256) -- Datper (LZRW1/KH) --
| 7bc042b9a599e1024a668b9921e2a42a02545429cf446d5b3d21f20185afa6ce |
| 1e511c32cdf8abe23d8ba7c39da5ce7fc6c87fdb551c9fc3265ee22ac4076e27 |
| 2f6745ccebf8e1d9e3e5284a895206bbb4347cf7daa2371652423aa9b94dfd3d |
