## 攻撃キャンペーン「Operation Bitter Biscuit」 を実行した標的型攻撃グループに関する脅威情報 ##### 2020/1/17 ----- #### ⚫ 元ソフトウェアエンジニア ##### ➢ 3年前、NTTセキュリティ・ジャパンに転職し、 セキュリティエンジニアに転身 #### ⚫ SOCアナリスト ##### ➢ 24時間365日の監視業務 ➢ セキュリティデバイスのアラート監視 ➢ マルウェア解析 ###### ➢ Taidoorを用いた標的型攻撃解析レポート ----- ### 発表内容 #### ⚫ 攻撃キャンペーン「Operation Bitter Biscuit」の概要 ⚫ SOCで観測した標的型攻撃の解析結果 ##### ➢ メールからバックドア感染までの解析結果 ➢ バックドアを用いた攻撃者の活動の解析結果 #### ⚫ マルウェアBisonalの亜種間の比較 ⚫ まとめ ----- # 攻撃キャンペーン 「 」 Operation Bitter Biscuit の概要 ----- ### Opearation Bitter Biscuitは攻撃キャンペーンを表しており、 セキュリティベンダー各社から情報が公開されている。[[1],[2],[3]] ----- ### Operation Bitter Biscuitの特徴 #### ⚫ 標的国: 韓国、ロシア、日本 ⚫ 標的業種: 政府関係、軍事・国防関連企業 (IT企業も攻撃されたという情報有り[[4]]) ⚫ マルウェア: Bisonal ### Operation Bitter Biscuitに関する脅威情報 #### ⚫ 日本に対する攻撃事例が少ない。 ⚫ 攻撃に利用されるメールやマルウェア等の報告は存在するが、 感染後の攻撃者による活動に関する報告が少ない。 ### 脅威情報の少ないグループ ----- # で観測した SOC 標的型攻撃の解析結果 ----- # メールからバックドア感染 までの解析結果 ----- ### 端末がメールを起点に3つのバックドアに感染した。 ###### ACE形式 2つのWordファイル 圧縮ファイル ①ユーザー DOCX DOCX が解凍 ②ドロッパー を起動 ドロッパー 1次バックドア 2次バックドア (word.wll) (csrcc.exe) (Acrobat.exe) ①ユーザー ③1次バックドア ⑤2次バックドア ⑦ が解凍 を作成・実行 を実行 ④2次バックドア ⑥3次バックドア をダウンロード をダウンロード ###### 圧縮ファイル ###### 3次バックドア (conime.exe) ###### ①ユーザー が解凍 ----- ### 端末がメールを起点に3つのバックドアに感染した。 ###### ACE形式 2つのWordファイル 圧縮ファイル ①ユーザー DOCX DOCX が解凍 ②ドロッパー を起動 ドロッパー 1次バックドア 2次バックドア (word.wll) (csrcc.exe) (Acrobat.exe) ①ユーザー ③1次バックドア ⑤2次バックドア ⑦ が解凍 を作成・実行 を実行 ### これから ④2次バックドア ⑥3次バックドア ###### をダウンロード をダウンロード ### 話す内容 ###### 圧縮ファイル ###### 3次バックドア (conime.exe) ###### ①ユーザー が解凍 ----- # 非公開 ----- ### 下記が悪用されて、圧縮ファイル内のドロッパーが起動した。 #### ⚫ CVE-2018-20250: WinRarに存在する任意のパスにファイルを設置される脆弱性 ⚫ Wordのアドインフォルダ: Word起動時に実行されるファイルの設置フォルダ ###### ACE形式 圧縮ファイル ###### 2つのWordファイル DOCX DOCX 標準のパスに設置される ②いずれかのWordファイルを開くと、 アドインフォルダ内のドロッパーが起動 ドロッパー (word.wll) ###### CVE-2018-20250により、 W dのアドインフォルダに設置される ###### ①ユーザー が解凍 ----- # 非公開 ----- #### ⚫ 検体に含まれる1次バックドアのバイナリデータをファイルとして出力している。 ⚫ レジストリを用いて1次バックドアを永続化させている。 ###### レジストリ「HKEY_CURRENT_USER¥Microsoft¥Windows¥CurrentVersion¥Run」の設定 ###### 1次バックドアのバイナリデータ ----- ### 端末がメールを起点に3つのバックドアに感染した。 ###### ACE形式 2つのWordファイル 圧縮ファイル ###### 圧縮ファイル ###### 3次バックドア (conime.exe) ###### ①ユーザー が解凍 ----- ### C&Cサーバーから受信した命令に応じた処理を実行する。 ----- ### これらのコマンドを用いて感染端末を操作された。 |受信データ|動作| |---|---| |c|ドライブ一覧の送信| |d|ファイル情報の送信| |e|ファイルのダウンロード| |f|ファイルの実行| |g|ファイルの削除| |h|ファイルのアップロード| |j|プロセス情報の送信| |l, m|コマンドの実行(cmd.exe)| |n|サービス情報の送信| |o|端末情報の送信| ----- ### 2次バックドアをダウンロード・実行したときの通信キャプチャ ###### • 受信データ: e(ファイルのダウンロード) • ファイル名: Acrobat.exe ###### • 受信データ: e( • ファイル名: Acrobat.exe 2次バックドアのバイナリデータ ----- ### 2次バックドアをダウンロード・実行したときの通信キャプチャ ###### • 受信データ: m(コマンドの実行) • 実行されたコマンド: cd Adobe ###### • 受信データ: m(コマンドの実行) • 実行されたコマンド: Acrobat.exe ----- ### 特定のデータを受信することで、モードが変更する。 #### ⚫ データ「1」を受信すると、命令を実行するモードに移行にする。 ⚫ データ「u」を受信すると、命令を実行しないモードに戻る。 ###### データを受信 NO 受信データ YES が「1」 データを受信 NO 受信データ YES コマンドを実行 が「1」 ###### データを受信 NO 受信データ YES が「1」 NO ----- ### C&Cサーバーとの通信はHTTPプロトコルを使用する。 ###### Fig. ) コマンド受信時の通信キャプチャ ###### Fig. ) コマンド結果送信時の通信キャプチャ ----- ### URLやポート番号等の値がエンコードされずに検体に含まれている。 ----- ### これまで「Operation Bitter Biscuit」の犯行グループが 特徴の一致する検体を使用したという報告は無い。 ----- ### 端末がメールを起点に3つのバックドアに感染した。 ###### ACE形式 2つのWordファイル 圧縮ファイル ###### 圧縮ファイル ###### 3次バックドア (conime.exe) ###### ①ユーザー が解凍 ----- ### マルウェア「Bisonal」との共通点 #### ⚫ バックドアの機能を有している。 ⚫ 通信先やポート番号のエンコードに使用されるアルゴリズムが同一である。 ----- ### バックドアの機能を有している。 ###### Fig. ) Bisonalに関する解析レポート[[5]] Fig. ) Acrobat.exe(2次バックドア)のコードの一部 |Col1|Col2|Col3| |---|---|---| |Bisonalがバックドアだという 解析レポートがある||| |にも|Col2|Col3| |---|---|---| ||にも|| ||Acrobat.exe バックドアの機能が 確認された|| ----- |受信データ|動作| |---|---| |2|送信データのprefixの変更| |3|プロセス情報の送信| |5|システム時間の送信| |6|ドライブ一覧の送信| |7|ファイル情報の送信| |9|プロセスの終了| |10, 11|コマンドの実行(cmd.exe)| |受信データ|動作| |---|---| |12|ファイルのダウンロード| |13, 15|ファイルのアップロード| |16|ファイルを削除| |17|ソケットの再作成| |18|ソケットオブジェクトの送信| |19|ファイルの実行| |20|ソケットのクローズ| |21|自身のプロセスの終了 自身のファイルの削除| ----- ### 通信先やポート番号のエンコードアルゴリズムが同一である。 ###### Fig. ) 過去のBisonalのエンコード[[5]] Fig. ) 2次バックドアのエンコード #### 0x4BD ----- #### ⚫ 2次バックドアのアルゴリズムの一部分が、 PostScript Type1で利用されている暗号アルゴリズムと同じ。 ⚫ 独自と思われるアルゴリズムも含まれている。 ###### Fig. ) 2次バックドアのデコード処理 ###### Fig. ) PostScript Type1 Font Formatに記載のコード[[6]] |C1=52845=0 C2=22719=-|Col2|Col3| |---|---|---| ||C1=52845=0 C2=22719=-|| |||| |Col1|理| |---|---| ||| |0x58BF-0x3193|| #### 独自? 0x58BF-0x3193 ----- ### C2への送受信データがカスタムされたRC4で暗号化されている。 ###### Fig. ) 2次バックドアのRC4のKSA #### SBOXの配列の長さが 256から128にカスタムされている #### 256 ----- ### 端末がメールを起点に3つのバックドアに感染した。 ###### ACE形式 2つのWordファイル 圧縮ファイル ①ユーザー DOCX DOCX が解凍 ②ドロッパー を起動 ドロッパー 1次バックドア 2次バックドア (word.wll) (csrcc.exe) (Acrobat.exe) ①ユーザー ③1次バックドア ⑤2次バックドア ⑦3 が解凍 を作成・実行 を実行 ④2次バックドア ⑥3次バックドア をダウンロード をダウンロード ### これから 話す内容 ###### ①ユーザー が解凍 ###### ⑥ ----- ### 2次バックドアと同じBisonalと考えれる。 #### ⚫ BinDiffで差分がなく、コード領域が一致している。 ⚫ C2コマンドも一致しており、C&Cサーバーの通信先ドメインも一致している。 ### 2次バックドアとの差分も見つかった。 #### ⚫ C&Cサーバーと通信する際のポート番号は異なっていた。 ###### Fig. ) 2次バックドアの エンコードされたポート番号 ###### Fig. ) 2次バックドアのFig. ) 3次バックドアの エンコードされたポート番号 #### CIIU 80 BWATFM 443 ----- #### ⚫ C&CサーバーのドメインのWhois情報 ⚫ C&Cサーバーの使い回し ----- ### changeipというDynamicDNSのドメインがC&Cサーバーに使用された。 ###### Fig. ) 1次バックドアの通信先 Fig. ) 2次バックドアの通信先 ----- ### 今回のC&Cサーバーのドメインは Operation Bitter Biscuitで利用実績のあるchangeipのドメインである。 ###### Fig. ) DynamicDNS毎の Bisonalの検体の通信先数 ###### Fig. ) 2018年に報告された Operation Bitter Biscuitに関する記事[[3]] ###### Sitelutions 34 ###### changeip 15 ###### changeipのドメイン ###### changeipのドメイン ###### changeipのドメイン ----- ### 2次バックドアのC&Cサーバーのドメインは 過去のBisonalでも使用されていた。 #### 2018年にupload された検体 #### 解析したところ、 Bisonalの特徴が複数見つかった。 #### 2018年にupload 解析したところ、 ### 通信先からBisonalを検知できる可能性がある ----- # バックドアを用いた 攻撃者の活動の 解析結果 ----- ### 攻撃者に観測用の囮環境と気づかれないように、 一般的な企業を模擬した環境を利用した。[[7]] ###### 観測系サーバー ###### 感染系サーバー ###### 感染端末 ----- ### 攻撃者の主な活動を時系列で示す。 ###### 時間 項目 バックドア 9/27 11:50 1次バックドア(csrcc.exe)の実行 9/27 11:55 攻撃者からの応答を確認 csrcc.exe 9/27 12:32 ファイルサーバーからファイルの窃取 csrcc.exe 9/27 13:39 2次バックドア(Acrobat.exe)のダウンロードと起動 csrcc.exe 9/27 13:51 感染端末のブラウザ・メーラーのパスワードを窃取 Acrobat.exe 9/27 13:56 感染端末のOSアカウントのパスワードを窃取 csrcc.exe 9/27 14:26 ADにマルウェアBisonalが設置される Acrobat.exe 9/27 18:04 3次バックドア(conime.exe)のダウンロードと起動 Acrobat.exe 9/27 21:47 バックドアのプロセスが終了し、攻撃者からの通信が途絶える #### 時差が1時間であることを考えると、 3次バックドアは 活動時間が中国の勤務時間に近い C&Cサーバーからの 命令を殆ど受信してない |時間|項目|バックドア| |---|---|---| |9/27 11:50|1次バックドア(csrcc.exe)の実行|-| |9/27 11:55|攻撃者からの応答を確認|csrcc.exe| |9/27 12:32|ファイルサーバーからファイルの窃取|csrcc.exe| |9/27 13:39|2次バックドア(Acrobat.exe)のダウンロードと起動|csrcc.exe| |9/27 13:51|感染端末のブラウザ・メーラーのパスワードを窃取|Acrobat.exe| |9/27 13:56|感染端末のOSアカウントのパスワードを窃取|csrcc.exe| |9/27 14:26|ADにマルウェアBisonalが設置される|Acrobat.exe| |9/27 18:04|3次バックドア(conime.exe)のダウンロードと起動|Acrobat.exe| |9/27 21:47|バックドアのプロセスが終了し、攻撃者からの通信が途絶える|-| ----- ### netコマンドやWinRarを用いてファイルを窃取された。 ###### Fig. ) 1次バックドアが実行したコマンド ###### m net use z: ¥¥192.168.66.5¥share ###### ファイルサーバーに ネットワークドライブを割当 別でダウンロードしたWinRarで ファイルを2M毎に圧縮 圧縮したファイルを C&Cサーバーにアップロード 攻撃者サーバー上の ファイルパスの可能性有り ネットワークドライブの ###### m rar a -r -v2000k 2.rar "z:¥" ###### m ----- ### ブラウザ・メーラーのパスワードの窃取が試行された。 ###### Fig. ) 2次バックドアが実行したコマンド getwebpass getwebpass.exeというツールで パスワードの窃取が試行された。 ----------------IE------------------- パスワード窃取の対象 • Internet Explorer ('INFO', u'Internet Explorer passwords are • Firefox stored in Vault (check vault module)') • Thunderbird • Chrome error:has not find password • Yandex ・ ・ ・ #### パスワードを保存しておらず、情報は窃取されなかった。 ----- ### pythonコードを実行ファイルに変換している。 ###### PyInstallerが使用されたことを示す 「pyi-windows-manifest-filename」 という文字列が確認できる ----- ### 類似のコードがGithub上に公開されている。 ###### Fig. ) インターネットに公開されている Fig. ) 攻撃者が使用したツールを chromeのパスワードを窃取するコード[[8]] デコンパイルしたコード |同様の処理をして 出力されるメッセ|Col2|Col3|ることに加えて、 ジも一致している。| |---|---|---|---| ||同様の処理をして 出力されるメッセ|い ー|ることに加えて、 ジも一致している。| ----- ### 攻撃者の用意したツールでパスワードの窃取が試行された。 ###### Fig. ) 1次バックドアが実行したコマンド m conhost conhost.exeという攻撃者が ダウンロードしたツールで OSアカウントの窃取が試行された。 [!]AdjustTokenPrivileges Failed.<1300> [!]Error code of EnumProcessModules():6 #### パスワードの窃取は失敗 ###### ・ ・ ・ |Fig. ) 1次バックドアが実行したコマンド|Col2|Col3| |---|---|---| |m conhost [!]AdjustTokenPrivileges Failed.<1300> [!]Error code of EnumProcessModules():6||| ||パスワードの窃取は失敗|| ###### m del conhost exe ###### 成功することなく、 ツールを削除している ----- ### 類似のコードがGitHubやブログで公開されている。[[9]] ###### Fig. ) 類似コードのGitHubのサイト Fig. ) 作成者のトップページ ###### 標準出力に出力される形式も同じ。標準出力に出力される形式も同じ。 ###### 標準出力に出力される形式も同じ。 ###### • セキュリティ関連のツールを公開している • 中国語が読み書きできる人物 ----- ### 類似のコードがGitHubや中国語のサイトで公開されている。[[10]] #### レジストリの設定が必要と記載されており、 攻撃者が実行に失敗した原因の可能性有り #### レジストリの設定が必要と記載されており、 ----- ### MS17-010の脆弱性の有無を確認している。 ###### Fig. ) 2次バックドアが実行したコマンド ###### checkers 192.168.66.50 0 192.168.66.50 Target OS: Windows Server 2012 R2 Standard 9600 [!] 192.168.66.50 :is not patched === Testing named pipes === spoolss: STATUS_ACCESS_DENIED samr: Ok (64 bit) netlogon: Ok (64 bit) lsarpc: Ok (64 bit) browser: STATUS_ACCESS_DENIED ###### MS17-010の脆弱性の有無を確認する CheckersというEXEファイルを実行している 引数の意味 ・第1引数: 確認するデバイスのIP ・第2引数: IPの指定方法のモード ・0: 指定IPに対する脆弱性の確認 ・0以外:指定範囲のIPに対する脆弱性の確認 #### “192.168.66.50 is not patched”と出力されている通り、 ADはMS17-010のパッチが適用されていないことを表している。 ----- ### pythonコードを実行ファイルに変換している。 ###### Fig. ) 攻撃者が使用したツールをデコンパイルしたコード ----- ### 類似のコードがGithub上に公開されている。[[11]] ###### 標準出力に表示される メッセージも同一 • セキュリティ関連のコードを公開している • タイに関連がある人物 ###### 標準出力に表示される メッセージも同一 ----- ### ADに対するマルウェアのアップロードをしている。 ###### Fig. ) 2次バックドアが実行したコマンド ###### tools.exe 192.168.66.50 samr 0 C:¥Windows¥Tasks¥Acrobat.exe c:¥windows¥tasks¥conhost.exe Target OS: Windows Server 2012 R2 Standard 9600 Target is 64 bit Got frag size: 0x20 ・ ・ ・ localfile: C:¥Windows¥Tasks¥Acrobat.exe remotefile: c:¥windows¥tasks¥conhost.exe the file to upload: C:¥Windows¥Tasks¥Acrobat.exe [*]upload sunccess! [*]upload file success! ###### MS17-010によりRCEを実行する「tools.exe」 というEXEファイルを実行している。 引数の意味(第3引数が0の場合) ・第1引数: 対象デバイスのIP ・第2引数: 名前付きパイプ ・第3引数: 対象デバイスに実行する機能 0:ファイルのアップロード 1:ファイルの読み取り 2:コマンド実行 3:ファイルのダウンロード ・第4引数: アップロードするファイルパス ・第5引数: アップロード先のファイルパス ###### Done #### 成功している ----- ### pythonコードを実行ファイルに変換している。 |tools_exec.pyのソース|Col2|Col3| |---|---|---| |||| |Base64 デコード||| ----- ### 類似のコードがGithub上に公開されている。 ###### デコンパイルしたpythonコードと 同じコメントが記載されている ----- ### 公開されているソースに独自で関数を追加されていた。 ###### ファイルをダウンロードする関数 helpを表示する関数 ###### ファイルを読み取る関数 ----- ### 過去にEmissary Pandaというグループが 類似するツールを利用したという情報がある。[[12]] ----- ### Operation Bitter Biscuitが利用したという報告があるツールと 特徴が似ているポートスキャンツールが観測された。 ###### Fig. ) 2次バックドアが実行したコマンド ###### Fig. ) ポートスキャンツールに関する過去の報告[[13]] #### s.exe #### S scanner By I 2012 ###### s #### 過去の報告と比べて ファイル名と標準出力のメッセージが同じだった #### s.exe ----- ### 今回の攻撃者は、関連する情報が最も多いことから、 Operation Bitter Biscuitの実行グループと推定される。 #### Emissary Panda #### Operation Bitter Biscuit #### Tick[[14]]/ Tonto[[15]] ###### C&Cサーバが changeip ポート スキャナー s.exe ###### 標的国 日本 マルウェア Bisonal ----- #### ⚫ EDR等でOfficeのアドインフォルダを監視する。 ⚫ 1次バックドアの通信を検知するネットワークシグネチャを適用する。 ⚫ Bisonalの通信先として知られているドメインやIPを遮断する。 ⚫ OSやインストール済みソフトウェアを最新バージョンに更新する。 ----- # マルウェア「 」 Bisonal 亜種間の比較 ----- ### 目的 #### ⚫ 今回使用されたBisonalの特徴を調べる。 ### 調査対象 #### ⚫ 特徴的なエンコードを用いてる検体 ### 比較する観点 #### ⚫ 通信プロトコル ⚫ コマンド数 ⚫ 通信先やポート番号のエンコード ----- ### 検体収集方法 #### ⚫ Virusotal等のマルウェアをダウンロードできるサービスから 下記の条件に一致する検体を検索した。 ##### ➢ OSINT情報から収集した、BisonalのIOCに一致する検体 ➢ エンコードアルゴリズムを特徴づける値を含む検体 ###### ✓ エンコードに使用されるキー: 0x4BD ✓ アルゴリズムに含まれる値: 0x58BF ##### ➢ エンコードされた文字列を含む検体 |エンコード前|エンコード後| |---|---| |80|CIIU| |443|BWATFM| |¥¥cmd.exe|DKALAHFNGKQIFHM| ----- ### 下記の通信プロトコルを利用する検体が見つかった。 #### ⚫ HTTPプロトコル ⚫ TCP上の独自プロトコル ###### Fig. ) HTTPプロトコル Fig. ) TCP上の独自プロトコル #### WinInet APIを利用している #### WinSock APIを利用している ----- ### 下記のコマンド数は見つかった。 #### ⚫ 5種類 ⚫ 6種類 ⚫ 17種類 ###### Fig. ) 5種類のコマンド ###### Fig. )6種類のコマンド Fig. ) 17種類のコマンド ・ ・ ・ ----- ### 下記のエンコードを行う検体が見つかった。 #### ⚫ 通信先のみエンコードする検体 ⚫ 通信先とポート番号をエンコードする検体 ###### Fig. ) 通信先のみエンコードする検体 #### ポート番号が エンコードされていない #### ポート番号が エンコードされている #### ポート番号が ----- ### 下記の通信を行う検体が見つかった。 #### ⚫ 平文で通信する検体 ⚫ カスタムしたRC4で暗号化する検体 ###### Fig. )平文で通信する検体の 送信データ作成処理 ###### Fig. ) カスタムしたRC4で暗号化する検体の 送信データ作成処理 |暗号|Col2|Col3| |---|---|---| ||暗号|| ----- #### ⚫ 大きく分けて2種類の亜種が見つかった。 ##### ➢ 通信プロトコル:HTTP, コマンド数:5又は6, ポート番号暗号化:無 ➢ 通信プロトコル:TCP上の独自プロトコル, コマンド数:17, ポート番号暗号化:有 #### ⚫ 2019年9月以降の検体では通信を暗号化していた。 今回の検体 |2019年9月以降の検体では|は通信を暗号化し|していた。|今回の検体| |---|---|---|---| ||グループA|グループB|グループB’| |通信プロトコル|HTTP|独自|独自| |コマンド数|5又は6|17|17| |ポート番号のエンコード|無|有|有| |C&Cサーバーとの通信の暗号化|無|無|有| |発見時期|2015-2018|2015-2017|2019/9, 2019/12| |検体数|18|10|3| #### 今回の検体は通信の暗号化が特徴であり、 今後のBi lでは通信を暗号化される可能性がある ----- #### ⚫ 囮環境による観測 ##### ➢ 一般的な企業を模擬した囮環境を利用することで、メールや一次検体だけでなく、 その後の2次検体やバックドアによる攻撃者の活動を観測することに成功した。 #### ⚫ 攻撃者の推定 ##### ➢ Operation Bitter Biscuitの犯行グループが今回の攻撃者と推定される。 #### ⚫ Operation Bitter Biscuitが使う新たな攻撃手法 ##### ➢ CVE-2018-20250とWordのアドインフォルダを悪用した手法 ➢ 類似検体が見つかっていないバックドア(1次バックドア) ➢ 感染端末のOSアカウント・ブラウザ・メーラーのパスワードを窃取するツール ➢ MS17-010を利用したツール #### ⚫ マルウェアBisonalの亜種間の比較 ##### ⚫ カスタムされたRC4で通信を暗号化するマルウェアBisonalが今後使用される可能性がある ----- ### 弊社WEBサイトにて公開します。 #### ⚫ Bisonalの通信を復号するツール ⚫ Bisonalの文字列のエンコード・デコードツール ⚫ Bisonalの亜種の検索に用いたyaraルール ----- |ファイル名|md5|通信先| |---|---|---| |csrcc.exe|AD3ADC82DB44B1655A921E5FDD0CBB40|www.yandex2unitedstated.dynamic-dns[.]net| |Acrobat.exe|F10EE63E777617DEF660D6CA881A7CFF|lovehome.zzux[.]com| |conime.exe|46C3DBF662B827D898C593CA22F50231|| ----- |ファイル名|md5| |---|---| |getwebpass.exe|E0C5A23FB845B5089C8527C3FA55082F| |conhost.exe|802312F75C4E4214EB7A638AECC48741| |checkers.exe|96C2D3AF9E3C2216CD9C9342F82E6CF9| |tools.exe|56DF97AE98AAB8200801C3100BC31D26| |s.exe|E533247F71AA1C28E89803D6FE61EE58| ----- ###### 9A484560846BE80D34C70EFE44069C1A ###### FEE03709C03AD49846A9AF6AA973C27D ----- ###### [1] https://asec.ahnlab.com/1078 [2] https://blog.trendmicro.com/trendlabs-security-intelligence/pulsing-the-heartbeat-apt/ [3] https://www.paloaltonetworks.jp/company/in-the-news/2018/unit42-bisonal-malware-used-attacks-russia- south-korea [4] https://www.slideshare.net/JackyMinseokCha/targeted-attacks-on-major-industry-sectors-in-south-korea- 20171201-cha-minseokavar-2017-beijingfull-version [5] https://asec.ahnlab.com/1026 [6] https://www.adobe.com/content/dam/acom/en/devnet/font/pdfs/T1_SPEC.pdf [7] https://www.jpcert.or.jp/present/2018/JSAC2018_08_ozawa.pdf [8] https://github.com/AlessandroZ/LaZagneForensic/blob/master/LaZagneForensic/lazagne/softwares/ browsers/chrome.py [9] https://github.com/3gstudent/Homework-of-C-Language/blob/master/sekurlsa-wdigest.cpp [10] https://3gstudent.github.io/3gstudent.github.io/Mimikatz%E4%B8%ADsekurlsa- wdigest%E7%9A%84%E5%AE%9E%E7%8E%B0/ [11] https://github.com/worawit/MS17-010/blob/master/checker.py [12] https://unit42.paloaltonetworks.com/emissary-panda-attacks-middle-east-government-sharepoint ----- ###### [13] https://image.ahnlab.com/file_upload/asecissue_files/ASEC_REPORT_vol.88.pdf [14] https://gsec.hitb.org/materials/sg2019/D1%20COMMSEC%20-%20Tick%20Group%20- %20Activities%20Of%20The%20Tick%20Cyber%20Espionage%20Group%20In%20East%20Asia%20Over%20T he%20Last%2010%20Years%20-%20Cha%20Minseok.pdf [15] https://aavar.org/AVAR2019_Papers.pdf -----