7/18(水) 気になったセキュリティ記事
日本を標的にしているAPT攻撃者グループに関する最新の記事があったので簡単に概要をメモ。
■ グループ名
Blackgear (別名: Topgear, Comnie)
■ 標的
国: 日本、韓国、台湾
組織: 公的機関、通信、ハイテク産業
■ 使用するマルウェア
Marade (ダウンローダー)
Protux (バックドア)
Elirks (バックドア)
■ 特徴
C2サーバの通信先をブログやソーシャルメディアに投稿した記事中に隠す
■ 攻撃方法
1. ドキュメントファイル、または偽のインストーラを標的に送りつける。
(e.g. マクロ付きOfficeファイル、偽のFlash Playerインストーラ)
2. 被害者が送りつけられたファイルを実行するとMarade (ダウンローダー)が起動する。
3. Marade (ダウンローダー)はブログやソーシャルメディアからC2サーバの通信先を取得する。
4. Marade (ダウンローダー)は3.で取得した通信先からProtux (バックドア)をダウンロード・実行する。
5. Protux (バックドア)はブログやソーシャルメディアからC2サーバの通信先を取得する。
6. 攻撃者はC2サーバから命令を下してProtux (バックドア)を利用して任意の操作を行う。
■ IOC