【概要】
項目 | 内容 |
---|---|
攻撃対象国 | 南米(アルゼンチン, ブラジル, エクアドル, ペルー, ブルネイ, マレーシア),東南アジア |
攻撃対象機関 | 外務機関,外交官 |
攻撃内容 | 秘密文書の窃取 |
活動開始時期 | 2015 年前半 |
使用マルウェア | Felismus |
特徴 | 就業時間外に攻撃(発見されにくくするため) |
長期にわたってターゲットに潜伏し続ける場合が多い |
■使用コマンド
cmd.exe /c c:\windows\rar.exe a -m5 -r -ta20150511000000 -v3072 c:\recycler\[編集済み].rar "\\[編集済み]\*.docx" \\[編集済み]\*.doc.
2015 年 5 月 11 日以降に更新されたファイルのみをアーカイブ
【ニュース】
◆Sowbug APT uses Felismus backdoor to for cyberespionage operations (とSCmagazine, 2017/11/07)
https://www.scmagazine.com/sowbug-apt-uses-felismus-backdoor-to-for-cyberespionage-operations/article/705998/
【ブログ】
◆Sowbug: 南米と東南アジアの政府機関を狙うサイバースパイ集団を確認 (Symantec, 2017/11/07)
Sowbug は、カスタムの Felismus マルウェアを使っており、南米の外交政策に強い関心を示しています
◆NEW: Sowbug APT (SILObreaker, 2017/11/08)
https://www.silobreaker.com/sowbug-apt/
【関連情報】
出典: https://www.symantec.com/connect/blogs/sowbug-0
出典: https://www.silobreaker.com/sowbug-apt/
【インディケータ情報】
■ハッシュ情報(MD5)
514f85ebb05cad9e004eee89dde2ed07 | Backdoor.Felismus |
00d356a7cf9f67dd5bb8b2a88e289bc8 | Backdoor.Felismus |
c1f65ddabcc1f23d9ba1600789eb581b | Backdoor.Felismus |
967d60c417d70a02030938a2ee8a0b74 | Backdoor.Felismus |
4984e9e1a5d595c079cc490a22d67490 | Trojan.Starloader |
e4e1c98feac9356dbfcac1d8c362ab22 | Hacktool.Mimikatz |
(以上は シマンテックの情報: 引用元は https://www.symantec.com/connect/blogs/sowbug-0)
■ドメイン情報(C&Cサーバ)
- nasomember.com
- cosecman.com
- unifoxs.com
(以上は シマンテックの情報: 引用元は https://www.symantec.com/connect/blogs/sowbug-0)
■インストールディレクトリ
- %WINDOWS%\debug
- %APPDATA%\microsoft\security
(以上は シマンテックの情報: 引用元は https://www.symantec.com/connect/blogs/sowbug-0)