TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究・参照ログ

Sowbug (まとめ)

【概要】

項目 内容
攻撃対象国 南米(アルゼンチン, ブラジル, エクアドル, ペルー, ブルネイ, マレーシア),東南アジア
攻撃対象機関 外務機関,外交官
攻撃内容 秘密文書の窃取
活動開始時期 2015 年前半
使用マルウェア Felismus
特徴 就業時間外に攻撃(発見されにくくするため)
長期にわたってターゲットに潜伏し続ける場合が多い

■使用コマンド

cmd.exe /c c:\windows\rar.exe a -m5 -r -ta20150511000000 -v3072 c:\recycler\[編集済み].rar "\\[編集済み]\*.docx" \\[編集済み]\*.doc.

2015 年 5 月 11 日以降に更新されたファイルのみをアーカイブ


【ニュース】

◆Sowbug APT uses Felismus backdoor to for cyberespionage operations (とSCmagazine, 2017/11/07)
https://www.scmagazine.com/sowbug-apt-uses-felismus-backdoor-to-for-cyberespionage-operations/article/705998/


【ブログ】

◆Sowbug: 南米と東南アジアの政府機関を狙うサイバースパイ集団を確認 (Symantec, 2017/11/07)

Sowbug は、カスタムの Felismus マルウェアを使っており、南米の外交政策に強い関心を示しています

https://www.symantec.com/connect/blogs/sowbug-0

◆NEW: Sowbug APT (SILObreaker, 2017/11/08)
https://www.silobreaker.com/sowbug-apt/


【関連情報】

f:id:tanigawa:20171112061140p:plain
出典: https://www.symantec.com/connect/blogs/sowbug-0

f:id:tanigawa:20171112064805p:plain
f:id:tanigawa:20171112064812p:plain
出典: https://www.silobreaker.com/sowbug-apt/


【インディケータ情報】


■ハッシュ情報(MD5)

514f85ebb05cad9e004eee89dde2ed07 Backdoor.Felismus
00d356a7cf9f67dd5bb8b2a88e289bc8 Backdoor.Felismus
c1f65ddabcc1f23d9ba1600789eb581b Backdoor.Felismus
967d60c417d70a02030938a2ee8a0b74 Backdoor.Felismus
4984e9e1a5d595c079cc490a22d67490 Trojan.Starloader
e4e1c98feac9356dbfcac1d8c362ab22 Hacktool.Mimikatz

(以上は シマンテックの情報: 引用元は https://www.symantec.com/connect/blogs/sowbug-0)


■ドメイン情報(C&Cサーバ)

  • nasomember.com
  • cosecman.com
  • unifoxs.com

(以上は シマンテックの情報: 引用元は https://www.symantec.com/connect/blogs/sowbug-0)



■インストールディレクトリ

  • %WINDOWS%\debug
  • %APPDATA%\microsoft\security

(以上は シマンテックの情報: 引用元は https://www.symantec.com/connect/blogs/sowbug-0)


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2023