TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究・参照ログ

Datper (まとめ)

【要点】

◎中国を拠点に活動するサイバー攻撃組織 Tick が使用するマルウェア(RAT)。標的型攻撃メール、SKYSEAの脆弱性を狙った攻撃などで感染し、感染を拡大する。通信にはhttpプロトコルが使用されており、GETメソッドとPOSTメソッドが使用され、データは複雑なアルゴリズムで暗号化されている


【辞書】

◆Datper (Malpedia)
https://malpedia.caad.fkie.fraunhofer.de/details/win.datper


【ニュース】

◆ラック、マルウェア「Daserf」の実態レポート「日本の重要インフラ事業者を狙った攻撃者」を公開 (EnterpriseZine, 2016/08/02 15:00)
https://enterprisezine.jp/article/detail/8333
https://malware-log.hatenablog.com/entry/2016/08/02/000000

◆重要インフラを狙うマルウェア「Daserf」、長期間標的組織に潜伏の可能性(ラック) (NetSecurity, 2016/08/03)
http://scan.netsecurity.ne.jp/article/2016/08/03/38799.html
https://malware-log.hatenablog.com/entry/2016/08/03/000000_2

◆日本企業を狙う中国のサイバースパイ集団、知的財産や製品情報が被害に (ITmedia, 2017/10/16 08:45)
http://www.itmedia.co.jp/enterprise/articles/1710/16/news050.html
https://malware-log.hatenablog.com/entry/2017/10/16/000000_10

◆日本の製造業や重工業を狙うサイバーグループ「BRONZE BUTLER」に注意 (マイナビニュース, 2017/10/17)
http://news.mynavi.jp/news/2017/10/17/127/
https://malware-log.hatenablog.com/entry/2017/10/17/000000_11

◆モバイルWi-Fiルーターがマルウェアの感染経路になっていた! 日本を狙った「XXMM」亜種の特徴的な感染経路 (Internet Watch, 2017/12/27)

活動が続く「The Bald Knight Rises」の洗練された攻撃手法、カスペルスキーが解説

https://internet.watch.impress.co.jp/docs/news/1099223.html
https://malware-log.hatenablog.com/entry/2017/12/27/000000

◆攻撃グループ「Tick」、資産管理ソフトへの脆弱性攻撃を継続 - 標的型攻撃も (Security NEXT, 2019/02/22)
http://www.security-next.com/102741
https://malware-log.hatenablog.com/entry/2019/02/22/000000_1


【ブログ】

◆BRONZE BUTLER Targets Japanese Enterprises (SecureWorks, 2017/10/12)
https://www.secureworks.com/research/bronze-butler-targets-japanese-businesses
https://malware-log.hatenablog.com/entry/2017/10/12/000000_6

◆日本と韓国を狙う標的型攻撃:The Bald Knight Rises (Kaspersky, 2018/02/02)
https://blog.kaspersky.co.jp/the-bald-knight-rises-apt/19376/
https://malware-log.hatenablog.com/entry/2018/02/02/000000_3

◆日韓両国で展開されるターゲット型攻撃の実態 (Ahnlab, 2018/04/04)
https://mjp.ahnlab.com/site/securitycenter/securitycenterboard/securityInsightView.do?seq=2463&curPage=3
https://malware-log.hatenablog.com/entry/2018/04/04/000000_4

◆Tracking Tick Through Recent Campaigns Targeting East Asia (TALOS, 2018/10/18)
https://blog.talosintelligence.com/2018/10/tracking-tick-through-recent-campaigns.html
https://malware-log.hatenablog.com/entry/2018/10/18/000000_3

◆東アジアを標的にした最近のキャンペーンを通じて Tick を追跡 (Talos(CISCO), 2018/11/08)
https://gblogs.cisco.com/jp/2018/11/talos-tracking-tick-through-recent-campaigns/
https://malware-log.hatenablog.com/entry/2018/11/08/000000_6

【公開情報】

◆日本企業を狙う高度なサイバー攻撃の全貌 – BRONZE BUTLER (SecureWorks, 2017/06/23)
https://www.secureworks.jp/resources/rp-bronze-butler
https://malware-log.hatenablog.com/entry/2017/06/23/000000_3

◆“Tick” Group Continues Attacks (UNIT42(paloalto), 2017/07/24 18:00)
https://researchcenter.paloaltonetworks.com/2017/07/unit42-tick-group-continues-attacks/
https://malware-log.hatenablog.com/entry/2017/07/24/000000_2

◆「Tick」グループによる日本や韓国への継続した巧妙な攻撃~ 日本企業の慣習にならい拡張子の変更をお願いする、ソーシャルエンジニアリング的手法を利用 (UNIT42(paloalto), 2017/07/24 18:00)
https://www.paloaltonetworks.jp/company/in-the-news/2017/tick-continues-cyber-espionage-attacks
https://malware-log.hatenablog.com/entry/2017/07/24/000000_2

◆マルウエアDatperをプロキシログから検知する(2017-08-17) (JPCERT/CC, 2017/08/17)
https://www.jpcert.or.jp/magazine/acreport-datper.html
https://malware-log.hatenablog.com/entry/2017/08/17/000000_5

◆マルウエア Datper をプロキシログから検知する方法 (JPCERT/CC, 2017/08/23)
https://www.jpcert.or.jp/tips/2017/wr173201.html
https://malware-log.hatenablog.com/entry/2017/08/23/000000_2

◆マルウエアDatperの痕跡を調査する~ログ分析ツール(Splunk・Elastic Stack)を活用した調査~ (2017-09-25) (JPCERT/CC, 2017/09/25)
https://blogs.jpcert.or.jp/ja/2017/09/search-datper.html
https://malware-log.hatenablog.com/entry/2017/09/25/000000_8

◆マルウェア Datper の痕跡を調査するためのログ分析ツール活用方法 (JPCERT/CC, 2017/10/04)
https://www.jpcert.or.jp/tips/2017/wr173801.html
http://malware-log.hatenablog.com/entry/2017/10/04/000000_7

◆攻撃グループTickによる日本の組織をターゲットにした攻撃活動 (JPCERT/CC, 2019/02/19)
https://blogs.jpcert.or.jp/ja/2019/02/tick-activity.html
https://malware-log.hatenablog.com/entry/2019/02/19/000000_2

◆日本の製造業を狙うTickグループ (Macnica Networks, 2020/01/28)
https://www.macnica.net/mpressioncss/feature_05.html/
https://malware-log.hatenablog.com/entry/2020/01/28/000000_8


【資料】

◆CYBER GRID VIEW Vol.2 PDF版 (Lac, 2016/08/02)
https://www.lac.co.jp/lacwatch/pdf/20160802_cgview_vol2_a001t.pdf
https://malware-log.hatenablog.com/entry/2016/08/02/000000_2

◆日本を狙うサイバーエスピオナージ (標的型攻撃)の動向 2018 年上半期 (Macnica Networks, 2018/10/01)
https://www.macnica.net/file/mpressioncss_2018-1h-report_mnc_rev3_nopw.pdf
https://malware-log.hatenablog.com/entry/2018/10/01/000000_7

◆標的型攻撃の実態と対策アプローチ 第2版 (Macnica Networks, 2019/04/01)
https://www.macnica.net/mpressioncss/feature_03.html/
https://malware-log.hatenablog.com/entry/2019/04/01/000000_9

◆Tick グループの最新攻撃事例分析 (Ahnlab, 2019/04/22)
https://jp.ahnlab.com/global/upload/download/asecreport/PressAhn_Vol64.pdf
https://malware-log.hatenablog.com/entry/2019/04/22/000000_5


【図表】

f:id:tanigawa:20200227163421j:plain
2018 年度に観測された標的型攻撃と標的業種
出典: https://www.macnica.net/mpressioncss/feature_03.html/

時期 対象 攻撃手法
2013年2月 不明 Flash 脆弱性(CVE-2013-0633、CVE-2013-0634)を利用した攻撃
2014年3月 韓国 - 防衛産業 Netboy 変形で攻撃。韓国で多数の感染報告
2015年1月 韓国 - 大企業 A Bisodown 変形で攻撃
2015年5月 韓国 - 大企業 B Netboy 変形で攻撃
2015年6月 アジア - 金融機関 確認不可
2016年2月 韓国 - 海洋産業 Daserf 変形で攻撃。2016年6月、韓国のキャリアで発見された Daserfマルウェアと同じ
2016年6月 日本 - 旅行会社 LAC レポートによる
2016年6月 韓国 - キャリア Daserf 変形で攻撃
2016年9月 韓国 - エネルギー Datper 変形で攻撃
2016年12月 日本 - 企業 日本の資産管理ソフトウェアの脆弱性(CVE-2016-7836)を攻撃して感染
2017年4月 韓国 - 未確認 2018年パロアルトユニット42を通じて韓国のセキュアUSBへの攻撃が知られた
2018年5月 韓国 - 国防分野推定 Bisodown 変形で攻撃。軍事関連内容に偽装したファイル(decoy)などからみて国防分野の関係者がターゲットと推定される
2018年5月 韓国 - 政治機関 Bisodown 利用攻撃
2018年8月 韓国 - 国防分野 Bisodown 変形で攻撃。感染システムで Linkinfo.dllファイル名を持つ Keyloggerと一緒に発見
2018年9月 韓国 - 政治機関 Datper 変形で攻撃
2019年1月 韓国 - 情報セキュリティ JPCERT で 2019年2月に公開した Datper 変形で攻撃
2019年1月 韓国 - Webホスティング 2019年1月、韓国のセキュリティベンダーで発見されたマルウェアと同じ
2019年2月 韓国 - 電子部品 JPCERTで2019年2月に公開した Datper 変形で攻撃
2019年2月 韓国-ITサービス 2019年2月、韓国の電子部品の攻撃マルウェアと同じ Datper 変形で攻撃


【関連情報】

f:id:tanigawa:20171015163525p:plain
出典: https://www.secureworks.com/research/bronze-butler-targets-japanese-businesses



【関連まとめ記事】

全体まとめ
 ◆マルウェア / Malware (まとめ)

◆標的型攻撃マルウェア (まとめ)
https://malware-log.hatenablog.com/entry/APT_Malware

◆Daserf (まとめ)
http://malware-log.hatenablog.com/entry/Daserf

【インディケータ情報】

■ハッシュ情報(Sha256) -- Datper (LZNT1) --

efa68fcbd455a72276062fb513b71547ea11fedf4db10a476cc6c9a2fa4f67f7
12d9b4ec7f8ae42c67a6fd030efb027137dbe29e63f6f669eb932d0299fbe82f
331ac0965b50958db49b7794cc819b2945d7b5e5e919c185d83e997e205f107b
90ac1fb148ded4f46949a5fea4cd8c65d4ea9585046d66459328a5866f8198b2
2384e8ad8eee6db1e69b3ee7b6b3d01ae09f99a86901a0a87fb2788c1115090c
7d70d659c421b50604ce3e0a1bf423ab7e54b9df361360933bac3bb852a31849
303b75a7c350d26116fe341d77105a33c8cb1da3dc82424c3eac401820e868dd
340906b6b3a4149875dea37221843cb8b67c51eb4520b39956cb6761ef0a3c5d
b3cc83978bbc4f5603e93ec8c687a7007a3f7dbfbae01bff0a30332b06ea44d9


■ハッシュ情報(Sha256) -- Datper (LZRW1/KH) --

7bc042b9a599e1024a668b9921e2a42a02545429cf446d5b3d21f20185afa6ce
1e511c32cdf8abe23d8ba7c39da5ce7fc6c87fdb551c9fc3265ee22ac4076e27
2f6745ccebf8e1d9e3e5284a895206bbb4347cf7daa2371652423aa9b94dfd3d

Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2020