Blackgear Cyberespionage Campaign Resurfaces, Abuses Social Media for C&C Communication - TrendLabs Security Intelligence Blog

日本を標的にしているAPT攻撃者グループに関する最新の記事があったので簡単に概要をメモ。

■ グループ名

Blackgear (別名: Topgear, Comnie)

■ 標的

国: 日本、韓国、台湾

組織: 公的機関、通信、ハイテク産業

■ 使用するマルウェア

Marade (ダウンローダー)

Protux (バックドア)

Elirks (バックドア)

■ 特徴

C2サーバの通信先をブログやソーシャルメディアに投稿した記事中に隠す

■ 攻撃方法

1. ドキュメントファイル、または偽のインストーラを標的に送りつける。

(e.g. マクロ付きOfficeファイル、偽のFlash Playerインストーラ)

2. 被害者が送りつけられたファイルを実行するとMarade (ダウンローダー)が起動する。

3. Marade (ダウンローダー)はブログやソーシャルメディアからC2サーバの通信先を取得する。

4. Marade (ダウンローダー)は3.で取得した通信先からProtux (バックドア)をダウンロード・実行する。

5. Protux (バックドア)はブログやソーシャルメディアからC2サーバの通信先を取得する。

6. 攻撃者はC2サーバから命令を下してProtux (バックドア)を利用して任意の操作を行う。

■ IOC