==【目次】==
概要
【別名】
| マルウェア名 | 備考 |
|---|---|
| PlugX | Trendmicro, Check Point |
| Korplug | Symantec |
| Kaba | FireEye |
| Sogu | |
| Destroy RAT |
【使用攻撃組織(Actor)】
| 組織名 | 推定国 | 別名 |
|---|---|---|
| APT 26 | 中国 | Hippo Team / Emberparrotfish / JerseyMikes |
| APT31 | ||
| APT41 | ||
| Calypso group | ||
| DragonOK | ||
| Emissary Panda | ||
| Hellsing | ||
| Hurricane Panda | ||
| Leviathan | ||
| Nightshade Panda | ||
| Stone Panda | ||
| UPS |
【辞書】
◆PlugX (ATT&CK)
https://attack.mitre.org/software/S0013/
◆PlugX (Malpedia)
https://malpedia.caad.fkie.fraunhofer.de/details/win.plugx
【最新情報】
◆中国の攻撃者が欧州の政府機関を狙っている (マイナビニュース, 2023/07/05 08:27)
https://news.mynavi.jp/techplus/article/20230705-2719735/
⇒ https://malware-log.hatenablog.com/entry/2023/07/05/000000
記事
【ニュース】
■2013年
◆正規のアプリケーションを狙う「PLUGX」の新たな亜種を確認 (TrendLabs, 2013/05/01)
http://blog.trendmicro.co.jp/archives/7156
◆正規のアプリに偽装し検出を回避する「PlugX」の亜種を確認(トレンドマイクロ) (NetSecurity, 2013/05/02 16:43)
http://scan.netsecurity.ne.jp/article/2013/05/02/31553.html
◆歴史的日付に関連したサイバー攻撃、予測よりも小規模に--技術レポート(IIJ) (NetSecurity, 2013/11/18)
http://scan.netsecurity.ne.jp/article/2013/11/18/32964.html
■2014年
◆NTPサーバを踏み台としたDDoS攻撃が頻発--技術レポート(IIJ) (NetSecurity, 2014/05/27 08:00)
http://scan.netsecurity.ne.jp/article/2014/05/26/34248.html
■2019年
◆日本も狙う「APT10」にあらたな動き - 一見問題ない実行ファイルから攻撃展開 (Security NEXT, 2019/05/29)
http://www.security-next.com/105283
⇒ https://malware-log.hatenablog.com/entry/2019/05/29/000000_8
◆国家関与の高度で危険な18のマルウェア (ZDNet, 2019/08/16 06:30)
https://japan.zdnet.com/article/35139844/
⇒ https://malware-log.hatenablog.com/entry/2019/08/16/000000_5
◆中国のサイバー犯罪組織「APT10」、今度はベトナムやマレーシアの医療関連施設を標的に (Internet Watch, 2019/10/11 18:21)
https://internet.watch.impress.co.jp/docs/news/1212441.html
⇒ https://malware-log.hatenablog.com/entry/2019/10/11/000000
■2020年
◆国家関与のサイバー攻撃、新型コロナ問題に便乗 - 中国のグループも (Security NEXT, 2020/03/18)
http://www.security-next.com/113281
⇒ https://malware-log.hatenablog.com/entry/2020/03/18/000000_3
■2022年
◇2022年3月
◆Chinese APT Combines Fresh Hodur RAT with Complex Anti-Detection (Threat Post, 2022/03/24 10:08)
[中国のAPTは、新鮮なHodur RATと複雑なアンチディテクションを組み合わせています]
https://threatpost.com/chinese-apt-combines-fresh-hodur-rat-with-complex-anti-detection/179084/
⇒ https://malware-log.hatenablog.com/entry/2022/03/24/000000_14
◇2022年9月
◆Chinese Hackers Target Government Officials in Europe, South America, and Middle East (The Hacker News, 2022/09/08)
[中国のハッカー、欧州・南米・中東の政府関係者を標的に]
https://thehackernews.com/2022/09/chinese-hackers-target-government.html
⇒ https://malware-log.hatenablog.com/entry/2022/09/08/000000_6
◆Cyberspies drop new infostealer malware on govt networks in Asia (BleepingComputer, 2022/09/13 06:00)
[アジアの政府機関ネットワークに新たな情報窃取マルウェアが出現]
https://www.bleepingcomputer.com/news/security/cyberspies-drop-new-infostealer-malware-on-govt-networks-in-asia/
⇒ https://malware-log.hatenablog.com/entry/2022/09/13/000000_2
■2023年
◇2023年2月
◆中国のサイバースパイ集団、新たに南米の外交機関を標的に (CIO, 2023/02/17)
https://project.nikkeibp.co.jp/idg/atcl/19/00002/00437/
⇒ https://malware-log.hatenablog.com/entry/2023/02/17/000000_3
◇2023年7月
◆中国の攻撃者が欧州の政府機関を狙っている (マイナビニュース, 2023/07/05 08:27)
https://news.mynavi.jp/techplus/article/20230705-2719735/
⇒ https://malware-log.hatenablog.com/entry/2023/07/05/000000
【ブログ】
■2012年
◆Backdoor.Korplug: Loading Malicious Components Through Trusted Applications (Symantec, 2012/07/10)
https://www.symantec.com/connect/blogs/backdoorkorplug-loading-malicious-components-through-trusted-applications
⇒ https://malware-log.hatenablog.com/entry/2012/07/10/000000_1
◆New Sample of Backdoor.Korplug is Signed with a Stolen Certificate (Symantec, 2012/08/09 18:06)
http://www.symantec.com/connect/blogs/new-sample-backdoorkorplug-signed-stolen-certificate
⇒ https://malware-log.hatenablog.com/entry/2012/08/09/000000_1
◆PlugX: New Tool For a Not So New Campaign (TrendLabs, 2012/09/10)
http://blog.trendmicro.com/trendlabs-security-intelligence/plugx-new-tool-for-a-not-so-new-campaign/
◆Tracking down the author of the PlugX RAT (Alienvault, 2012/09/13)
http://www.alienvault.com/open-threat-exchange/blog/tracking-down-the-author-of-the-plugx-rat
◆標的型攻撃用に特注されたRAT「PlugX」と「PoisonIvy」の緊密な関係が明らかに (TrendLabs, 2012/09/19)
http://blog.trendmicro.co.jp/archives/597
◆PlugX: New Tool For a Not So New Campaign (Trendmicro, 2012/09/10 10:00)
http://blog.trendmicro.com/trendlabs-security-intelligence/plugx-new-tool-for-a-not-so-new-campaign/
■2013年
◆Winnti returns with PlugX (SECURELIST, 2013/04/15 12:30 GMT)
http://www.securelist.com/en/blog/208194224/Winnti_returns_with_PlugX
◆From the Labs: New PlugX malware variant takes aim at Japan (nakedsecurity, 2013/12/04)
http://nakedsecurity.sophos.com/2013/12/04/new-plugx-malware-variant-takes-aim-at-japan/
◆Winnti returns with PlugX (SECURELIST, 2013/04/15 12:30 GMT)
http://www.securelist.com/en/blog/208194224/Winnti_returns_with_PlugX
◆Targeted Attack Trend Alert: PlugX the Old Dog With a New Trick (FireEye, 2013/05/14)
http://www.fireeye.com/blog/technical/cyber-exploits/2013/05/targeted-attack-trend-alert-plugx-the-old-dog-with-a-new-trick.html
◆Inside the "PlugX" malware with SophosLabs - a fascinating journey into a malware factory... (nakedsecurity, 2013/05/20)
https://nakedsecurity.sophos.com/2013/05/20/inside-the-plugx-malware-with-sophoslabs-a-fascinating-journey-into-a-malware-factory/
◆新型PlugXの出現 (IIJ-SECT, 2013/11/21)
https://sect.iij.ad.jp/d/2013/11/197093.html
◆From the Labs: New PlugX malware variant takes aim at Japan (nakedsecurity, 2013/12/04)
http://nakedsecurity.sophos.com/2013/12/04/new-plugx-malware-variant-takes-aim-at-japan/
■2014年
◆Adobe Flash Playerに存在するゼロデイ脆弱性、RAT「PlugX」に誘導 (TrendLabs Security Blog, 2014/02/25)
http://blog.trendmicro.co.jp/archives/8635
◆起動日時が設定されたRAT「PlugX」、C&C設定ダウンロードにDropboxを悪用 (Trendlabs Security Blog, 2014/06/27)
http://blog.trendmicro.co.jp/archives/9357
■2022年
◆Mustang Panda’s Hodur: Old tricks, new Korplug variant (Welivesecurity(ESET), 2022/03/22)
[Mustang Panda’s Hodur:。昔ながらの技と新しいKorplugのバリエーション]ESET researchers have discovered Hodur, a previously undocumented Korplug variant spread by Mustang Panda, that uses phishing lures referencing current events in Europe, including the invasion of Ukraine
[ESETの研究者は、Mustang Pandaによって拡散された、これまで文書化されていなかったKorplugの亜種であるHodurを発見しました。この亜種は、ウクライナ侵攻を含むヨーロッパの時事問題に言及したフィッシングルアーを使用します]https://www.welivesecurity.com/2022/03/23/mustang-panda-hodur-old-tricks-new-korplug-variant/
⇒ https://malware-log.hatenablog.com/entry/2022/03/22/000000_10
◆New Korplug Variant Spread by Mustang Panda: PlugX RAT Named Hodur (SOCTimes, 2022/03/30)
https://socprime.com/blog/new-korplug-variant-spread-by-mustang-panda-plugx-rat-named-hodur/
⇒ https://malware-log.hatenablog.com/entry/2022/03/30/000000_13
【公開情報】
◆PLUGX (Trendmicro)
http://150.70.65.162/malware.aspx?language=jp&name=PLUGX
■2012年
◆標的型攻撃に利用されるPlugXの脅威とは (Trendmicro, 2012/10/04)
https://www.trendmicro.com/vinfo/jp/threat-encyclopedia/web-attack/112/pulling-the-plug-on-plugx
⇒ https://malware-log.hatenablog.com/entry/2012/10/04/000000_7
■2013年
◆PlugX “malware factory” celebrates CVE-2012-0158 anniversary with Version 6.0 (SophosLabs, 2013/05)
http://sophosnews.files.wordpress.com/2013/05/sophosszappanosplugxmalwarefactoryversion6-rev3.pdf
◆An Analysis of PlugX (lastline, 2013/01/04)
http://www.lastline.com/an-analysis-of-plugx
◆Analysis Report (TLP:WHITE) Analysis of a PlugX variant (PlugX version 7.0) (CIRCL, 2013/03/29)
https://www.circl.lu/files/tr-12/tr-12-circl-plugx-analysis-v1.pdf
◆TR-24 Analysis - Destory RAT family (circl.lu)
https://www.circl.lu/pub/tr-24/
◆White Paper: PlugX - Payload Extraction (Contextis, 2013/03)
http://www.contextis.com/files/PlugX_-_Payload_Extraction_March_2013_1.pdf
◆IIJ、インターネットの最新の技術動向・セキュリティ情報のレポート「Internet Infrastructure Review」Vol.21を発行 (IIJ, 2013/11/18)
http://www.iij.ad.jp/news/pressrelease/2013/1118.html
◆新型PlugXの出現 (IIJ, 2013/11/21)
https://sect.iij.ad.jp/d/2013/11/197093.html
◆An Analysis of PlugX (Lastline Labs)
http://labs.lastline.com/an-analysis-of-plugx
◆An Analysis of PlugX Using Process Dumps from High-Resolution Malware Analysis (Lastline Labs)
http://labs.lastline.com/an-analysis-of-plugx-using-process-dumps-from-high-resolution-malware-analysis
【資料】
■2013年
◆An Analysis of PlugX (2013/01/04, lastline)
http://www.lastline.com/an-analysis-of-plugx
◆Analysis Report (TLP:WHITE) Analysis of a PlugX variant (PlugX version 7.0) (CIRCL, 2013/03/29)
https://www.circl.lu/files/tr-12/tr-12-circl-plugx-analysis-v1.pdf
◆White Paper: PlugX - Payload Extraction (Contextis, 2013/03)
http://www.contextis.com/files/PlugX_-_Payload_Extraction_March_2013_1.pdf
◆PlugX “malware factory” celebrates CVE-2012-0158 anniversary with Version 6.0 (SophosLabs, 2013/05)
http://sophosnews.files.wordpress.com/2013/05/sophosszappanosplugxmalwarefactoryversion6-rev3.pdf
◆The PlugX malware revisited: introducing “Smoaler” (Sophos, 2013/07)
http://sophosnews.files.wordpress.com/2013/07/sophosszappanosplugxrevisitedintroducingsmoaler-rev1.pdf
◆Internet Infrastructure Review Vol.21 (2013年11月18日発行) (IIJ)
http://www.iij.ad.jp/company/development/report/iir/021.html
■2014年
◆Internet Infrastructure Review(IIR)Vol.23 (IIJ, 2014/05/23)
https://www.iij.ad.jp/dev/report/iir/023.html
【関連情報】
PlugX ツールキット画面
出典: https://www.yomiuri.co.jp/science/goshinjyutsu/20160624-OYT8T50029.html#
出典: http://blog.trendmicro.co.jp/archives/5973
【関連まとめ記事】
◆標的型攻撃マルウェア (まとめ)
https://malware-log.hatenablog.com/entry/APT_Malware
IoC
【インディケータ情報】
■ハッシュ情報(Sha256)
1a091c2ddf77c37db3274f649c53acfd2a0f14780479344d808d089faa809a
42813b3a43611efebf56239a1200f8fc96cd9f3bac35694b842d9e8b02a
28762c22b2736ac9728feff579c3256bd5d18bdfbf11b8c00c68d6bd905af5b8
■ハッシュ情報(MD5)
BD9FD3E199C3DAB16CF8C9134E06FE12
215CEC7261D70A5913E79CD11EBC9ECC
12181311E049EB9F1B909EABFDB55427
【マルウェア検体のハッシュ】
◆PlugX
MD5: 2ca739538e18ce6f881694d99f6e22e9
SHA1: 88222c4fe9b9af8300b135229ad7b3303c299aab
SHA256: c1c80e237f6fbc2c61b82c3325dd836f3849ca036a28007617e4e27ba2f16c4b
SHA512: efafc12a6078989e31c35332fd8163d063ea37e098e056d9ad30722e9a65d0a1f6ec53051a9794fe83c4fc867c0b7dff1dc58f41a2072942c38b1253e94352c8
SSDEEP: 3072:qua3ds8DIoJtSq1fFPmYejhX1dwfx8Cr7A+35TCZUz2yEM:qua3xDRz1fgYej/dwfeO7AU0Ze2
authentihash: 214d5243ea92511a7d6423812d3ac25a16c4109737fb2c0554dcbb56156e64e1
imphash: 1b003e9291d7665df04b0ac0b5c53701
File Size: 172032 bytes
File Type: PE32 executable (DLL) (GUI) Intel 80386, for MS Windows
コンパイル日時: 2012/06/17 16:44:58
Debug Path: d:\work\plug4.0(nvsmart)(sxl)\shellcode\shellcode\XPlug.h
File Name: plugx.dll
File Path: C:\DOCUME~1\User\LOCALS~1\Temp\plugx.dll
https://www.virustotal.com/ja/file/c1c80e237f6fbc2c61b82c3325dd836f3849ca036a28007617e4e27ba2f16c4b/analysis/
https://malwr.com/analysis/ZmIwYmMxY2JmNTlhNGIxMWIxMzU1YmZkOTg5ZDYxNjM/
https://www.threatcrowd.org/malware.php?md5=2ca739538e18ce6f881694d99f6e22e9
http://www.isthisfilesafe.com/sha1/88222C4FE9B9AF8300B135229AD7B3303C299AAB_details.aspx
Google 検索
◆PlugX
SHA256: 1a091c2ddf77c37db3274f649c53acfd2a0f14780479344d808d089faa809a
コンパイル日時: 2012/06/17 16:44:58
Debug Path: d:\work\Plug3.0(Gf)UDP\Shell6\Release\Shell6.pdb
◆PlugX
SHA256: 42813b3a43611efebf56239a1200f8fc96cd9f3bac35694b842d9e8b02a
コンパイル日時: 2012/05/26 07:16:08
Debug Path: d:\work\plug4.0(nvsmart)\shellcode\shellcode\XPlug.h
◆PlugX
SHA256: 28762c22b2736ac9728feff579c3256bd5d18bdfbf11b8c00c68d6bd905af5b8
Debug Path: d:\work\plug3.1(icesword)\shellcode\shellcode\XPlug.h
コンパイル日時: 2012/06/14 6:06:00
