{
	"id": "6e011906-9c72-4d3f-9bc4-ab6bd691d6cf",
	"created_at": "2026-04-06T00:21:47.057669Z",
	"updated_at": "2026-04-10T03:36:13.894962Z",
	"deleted_at": null,
	"sha1_hash": "1d7c2d24de19a1c6d8fde96bbfa1215576db37b2",
	"title": "攻撃グループTickによる日本の組織をターゲットにした攻撃活動 - JPCERT/CC Eyes",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 1076095,
	"plain_text": "攻撃グループTickによる日本の組織をターゲットにした攻撃活\r\n動 - JPCERT/CC Eyes\r\nBy 朝長 秀誠 (Shusei Tomonaga)\r\nPublished: 2019-02-18 · Archived: 2026-04-05 14:20:45 UTC\r\nDatper\r\n以前のJPCERT/CC Eyesで攻撃グループTick[1] (BRONZE BUTLER[2]とも呼ばれる) が使用していると考\r\nえられるマルウエアDatperについて紹介しましたが、この攻撃グループに関連すると考えられる攻撃は\r\n現在も継続しています。2018年以降、JPCERT/CCにて確認している攻撃は以下の2つです。\r\n標的型攻撃メールによるDatperの感染\r\n資産管理ソフトウエアの脆弱性を悪用する攻撃\r\n今回は、上記2つの攻撃から確認した新たな特徴について紹介します。\r\n標的型攻撃メールによるDatperの感染\r\n2017年頃までは、ドライブバイダウンロード攻撃でDatperに感染する事例を多く確認していました。\r\n2018年以降は感染経路が変化し、標的型攻撃メールに添付されたPPTファイルなどの不正なドキュメン\r\nトファイルから感染する事例を複数確認しています。\r\n最近のDatperは以前のものと比べて通信方式が変更されています。以下に通信内容の例を示します。\r\nGET /hp.php?hmlrqmvm=kl818612rn3298l844d1538jca5hx8sz6k342z41c82k0t3zr6tbvp6c3st3b4mz7ben HTTP/1.1\r\nAccept: */*\r\nContent-Type: application/x-www-form-urlencoded\r\nUser-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko\r\nHost: 211.233.81.242\r\nCache-Control: no-cache\r\nURLパラメータの値として暗号化したデータを送信することは変わっていませんが、通信の暗号化方\r\n式にRSA暗号を使用するように変更されています。表1は2018年3月以前と最近の検体の通信方式の比\r\n較です。\r\n表 1: Datperの通信圧縮方式と暗号方式の一覧\r\n時期 圧縮方式 暗号化方式 エンコード方式\r\n2018/2以前 LZRW1/KH XOR + RC4 Base64(変則table)\r\n2018/3以降 LZRW1/KH XOR + RC4 + RSA Base64(変則table)\r\nhttps://blogs.jpcert.or.jp/ja/2019/02/tick-activity.html\r\nPage 1 of 8\n\n以前のDatperでは、固定のRC4キーを使っていたため、マルウエアを分析しRC4キーを特定すれば通信\r\nデータを復号することができました。対して、最近のDatperは実行毎に作成するランダムなRC4キーを\r\n使って通信を暗号化しています。作成されたランダムなRC4キーはサーバとの最初の通信でRSA暗号化\r\nした上で送信されます。そのため、RSAの秘密鍵がなければRC4キーを知ることができず、通信を復号\r\nすることができません。\r\nなお、RSAに使用するExponentとModulusは検体の設定情報に含まれています。(設定情報については、\r\nAppendix Aをご覧ください。)以下は、設定情報に含まれているModulusとExponentの例です。\r\naiaA$csh0h5882A+wNmRsyknDQsi7La6IT=YD8gRDJf8ZXhcvPb66TW54vucxYRfDbdnidbgs1fCLMS1\r\npU8ZPMtHSutpqw8dPbG=LJR9rQ9ezkBxQ0fv4GGTesBPb1kty01rhhHDMQj5K4I369LUF8Xmdqq2nmJi\r\n69KfTQFLy135=+3Te4v1vyEyl9Afbu8AOAit19qj5R46jQ5Y9TwEcmfw7=3G4KSxmkwei=5=OHqPgqA\r\nqpgvcwlTcAgnGhvJLrQyzpPUiC2KSNL4F6lT7GZQ8jo2JR\r\n“$”を挟んで、前半(赤文字)がExponentで後半(青文字)がModulusの値をそれぞれBase64(変則table)でエン\r\nコードしています。\r\n資産管理ソフトウエアの脆弱性を悪用する攻撃\r\n2017年6月にSecureWorks社から公開された資産管理ソフトウエアの脆弱性を悪用する攻撃[2]は、現在\r\nも継続しています。図1は、本脆弱性を悪用しようとするスキャン通信をインターネット定点観測シス\r\nテム(TSUBAME)で観測した状況を示しています。2017年10月頃から一時的に攻撃は収まっていました\r\nが、2018年3月15日から攻撃が再開しています。なお、悪用される脆弱性に変化はありません。また、\r\nこのスキャン活動は日本のセンサーのみで観測されており、攻撃者は日本のIPアドレスレンジを中心に\r\n攻撃をしようとしていると考えられます。\r\n図 1：資産管理ソフトウエアの脆弱性を悪用しようとするスキャン観測状況\r\n(TSUBAMEの観測データ: 2017年1月1日～2019年2月7日)\r\nhttps://blogs.jpcert.or.jp/ja/2019/02/tick-activity.html\r\nPage 2 of 8\n\n2018年3月以前、攻撃者はこの脆弱性を悪用してxxmmやDatperの感染を行っていました\r\nが、現在は別のマルウエアの感染を試みています。 新たなマルウエアはJavaScriptで作成\r\nされており、Node.jsを使って動作します。以下はこの攻撃によってマルウエア感染が行わ\r\nれた際に作成されるファイルの一覧です。\r\n表 2: 感染時に作成されるファイル\r\nファイルおよびフォルダ名 説明\r\napp.js マルウエア本体\r\nnode.exe Node.js\r\nflash.vbs app.jsを実行するスクリプト\r\nconfig\\.regeditKey.rc レジストリエントリ登録情報\r\nconfig\\app.json 通信先情報\r\nconfig\\auto.json 設定情報一次保存ファイル\r\ntools\\getProxy.exe Proxy情報取得ツール\r\ntools\\uninstaller.exe アンインストール用\r\n※ すべてのファイルおよびフォルダは%APPDATA%\\Adobe\\flash\\[ランダムな4文字の英数\r\n字]\\bin配下に作成されます。\r\nマルウエア本体となるapp.jsは、node.exe (Node.js)に読み込まれることで実行されます。こ\r\nのマルウエアはC\u0026Cサーバとの通信をWebSocketで行います。以下はマルウエアが行う最\r\n初の通信の例です。\r\nGET / HTTP/1.1\r\nSec-WebSocket-Version: 13\r\nSec-WebSocket-Key: R0bGJIMgRhG6p5Tj8bKBRQ==\r\nConnection: Upgrade\r\nUpgrade: websocket\r\nHost: www.rakutenline.com:443\r\nマルウエアがリモートから命令を受信すると、以下の命令を実行する可能性があります。\r\n任意のコマンドの実行\r\nファイルのアップロード・ダウンロード\r\n感染したホストの情報送信\r\nなお、このapp.jsはNode.jsがインストールされている環境であれば、動作することが可能\r\nなマルチプラットフォーム対応型のマルウエアです。攻撃者は、Windows OSだけではな\r\nhttps://blogs.jpcert.or.jp/ja/2019/02/tick-activity.html\r\nPage 3 of 8\n\nくmacOSなども攻撃のターゲットにしていると考えられます。図2は、実行環境に合わせ\r\nて実行するコマンドを変えているソースコードの例です。\r\n図 2：app.jsのソースコード\r\nおわりに\r\n攻撃者は引き続き、日本の組織に対して攻撃を続けています。今後もこのような攻撃は続\r\nくと考えられるため、注意が必要です。該当の資産管理ソフトウエアを使用している場合\r\nはアップデートすることを推奨します。[3]\r\n今回解説した検体のハッシュ値に関しては、Appendix Bに記載しています。また、\r\nJPCERT/CCで確認している本件に関係する通信先の一部はAppendix Cに記載していますの\r\nで、このような通信先にアクセスしている端末がないかご確認ください。\r\n参考情報\r\n[1] Symantec: 日本を狙い始めたサイバースパイグループ「Tick」\r\nhttps://www.symantec.com/connect/ja/blogs/tick\r\n[2] SecureWorks: 日本企業を狙う高度なサイバー攻撃の全貌 – BRONZE BUTLER\r\nhttps://www.secureworks.jp/resources/rp-bronze-butler\r\n[3]JPCERT/CC: SKYSEA Client View の脆弱性 (CVE-2016-7836) に関する注意喚起\r\nhttps://www.jpcert.or.jp/at/2016/at160051.html\r\nAppendix A: Datperの設定情報\r\n表 3: Datperの設定情報一覧\r\nhttps://blogs.jpcert.or.jp/ja/2019/02/tick-activity.html\r\nPage 4 of 8\n\nIDX 内容\r\n1 ID\r\n2 URL\r\n3 Sleep Time (s)\r\n4 Mutex\r\n5 Proxy Server\r\n6 Proxy Port\r\n7 Proxy User Name\r\n8 Proxy Password\r\n9 Start Time (h)\r\n10 End Time (h)\r\n11 Unknown\r\n12 User Agent\r\n13 RSA Modulus / Exponent\r\nAppendix B: 検体のSHA-256ハッシュ値\r\napp.js\r\nf36db81d384e3c821b496c8faf35a61446635f38a57d04bde0b3dfd19b674587\r\nf71a3a772f4316ab3c940f94aab3d52eabe7ee9da311b112a12eacfcadddb85e\r\ngetProxy.exe\r\nc6cf0ad6d1e687b185407ee450a5b8e9a8ab60461f5c051251badb245df6245f\r\nuninstaller.exe\r\nd1617e7ec278484920c05476eabf783d399d6c03e8d8ab69e2f1fcb6a76417b4\r\nDatper\r\n6530f94ac6d5b7b1da6b881aeb5df078fcc3ebffd3e2ba37585a37b881cde7d3\r\ne38d3a7a86a72517b6ebea89cfd312db0f433385a33d87f2ec8bf83a62396bb3\r\nd91894e366bb1a8362f62c243b8d6e4055a465a7f59327089fa041fe8e65ce30\r\na7adfd0258e40d4df8cbc2ad7a660fd1c73f8dc2b9a4becc585a712cb5cfa9f1\r\nhttps://blogs.jpcert.or.jp/ja/2019/02/tick-activity.html\r\nPage 5 of 8\n\n569ceec6ff588ef343d6cb667acf0379b8bc2d510eda11416a9d3589ff184189\r\n517b2695bbf7164bfb9cab0a133bb0b1aeb387cbb7f30aa01bf5d6f89cca4214\r\nc2e87e5c0ed40806949628ab7d66caaf4be06cab997b78a46f096e53a6f49ffc\r\n4d4ad53fd47c2cc7338fab0de5bbba7cf45ee3d1d947a1942a93045317ed7b49\r\n4dc63bc7bd8bcc758a75f48d573bcea62444db41f6d3bce7c1202265340ab577\r\nAppendix C: 通信先一覧\r\nwww.rakutenline.com\r\nmenu.rakutenline.com\r\nwww.sa-guard.com\r\nmenu.sa-guard.com\r\nwww.han-game.com\r\nmenu.han-game.com\r\n211.233.81.242\r\nwww.aromatictree.co.kr\r\nrp.thumbbay.com\r\n110.45.203.133\r\nwww.amamihanahana.com\r\n61.106.60.47\r\nwww.kdcnet.co.kr\r\n朝長 秀誠 (Shusei Tomonaga)\r\n外資系ITベンダーでのセキュリティ監視・分析業務を経て、2012年12月から現職。現在は、マルウェ\r\nア分析・フォレンジック調査に従事。主に、標的型攻撃に関するインシデント分析を行っている。\r\nCODE BLUE、BsidesLV、BlackHat USA Arsenal、Botconf、PacSec、FIRSTなどで講演。JSACオーガナ\r\nイザー。\r\n関連記事\r\nhttps://blogs.jpcert.or.jp/ja/2019/02/tick-activity.html\r\nPage 6 of 8\n\nJSAC2026 開催レポート～DAY 2～\r\n攻撃グループAPT-C-60による攻撃のアップデート\r\nCobalt Strike Beaconの機能をクロスプラットフォームへと拡張するツール「CrossC2」を使った攻\r\n撃\r\nhttps://blogs.jpcert.or.jp/ja/2019/02/tick-activity.html\r\nPage 7 of 8\n\nIvanti Connect Secureの脆弱性を起点とした侵害で確認されたマルウェア\r\nIvanti Connect Secureに設置されたマルウェアDslogdRAT\r\nSource: https://blogs.jpcert.or.jp/ja/2019/02/tick-activity.html\r\nhttps://blogs.jpcert.or.jp/ja/2019/02/tick-activity.html\r\nPage 8 of 8",
	"extraction_quality": 1,
	"language": "JA",
	"sources": [
		"Malpedia"
	],
	"references": [
		"https://blogs.jpcert.or.jp/ja/2019/02/tick-activity.html"
	],
	"report_names": [
		"tick-activity.html"
	],
	"threat_actors": [
		{
			"id": "15b8d5d8-32cf-408b-91b1-5d6ac1de9805",
			"created_at": "2023-07-20T02:00:08.724751Z",
			"updated_at": "2026-04-10T02:00:03.341845Z",
			"deleted_at": null,
			"main_name": "APT-C-60",
			"aliases": [
				"APT-Q-12"
			],
			"source_name": "MISPGALAXY:APT-C-60",
			"tools": [],
			"source_id": "MISPGALAXY",
			"reports": null
		},
		{
			"id": "bbefc37d-475c-4d4d-b80b-7a55f896de82",
			"created_at": "2022-10-25T15:50:23.571783Z",
			"updated_at": "2026-04-10T02:00:05.302196Z",
			"deleted_at": null,
			"main_name": "BRONZE BUTLER",
			"aliases": [
				"BRONZE BUTLER",
				"REDBALDKNIGHT"
			],
			"source_name": "MITRE:BRONZE BUTLER",
			"tools": [
				"Mimikatz",
				"build_downer",
				"cmd",
				"ABK",
				"at",
				"BBK",
				"schtasks",
				"down_new",
				"Daserf",
				"ShadowPad",
				"Windows Credential Editor",
				"gsecdump"
			],
			"source_id": "MITRE",
			"reports": null
		},
		{
			"id": "f8dddd06-da24-4184-9e24-4c22bdd1cbbf",
			"created_at": "2023-01-06T13:46:38.626906Z",
			"updated_at": "2026-04-10T02:00:03.043681Z",
			"deleted_at": null,
			"main_name": "Tick",
			"aliases": [
				"G0060",
				"Stalker Taurus",
				"PLA Unit 61419",
				"Swirl Typhoon",
				"Nian",
				"BRONZE BUTLER",
				"REDBALDKNIGHT",
				"STALKER PANDA"
			],
			"source_name": "MISPGALAXY:Tick",
			"tools": [],
			"source_id": "MISPGALAXY",
			"reports": null
		},
		{
			"id": "ab47428c-7a8e-4ee8-9c8e-4e55c94d2854",
			"created_at": "2024-12-28T02:01:54.668462Z",
			"updated_at": "2026-04-10T02:00:04.564201Z",
			"deleted_at": null,
			"main_name": "APT-C-60",
			"aliases": [
				"APT-Q-12"
			],
			"source_name": "ETDA:APT-C-60",
			"tools": [
				"SpyGlace"
			],
			"source_id": "ETDA",
			"reports": null
		},
		{
			"id": "54e55585-1025-49d2-9de8-90fc7a631f45",
			"created_at": "2025-08-07T02:03:24.563488Z",
			"updated_at": "2026-04-10T02:00:03.715427Z",
			"deleted_at": null,
			"main_name": "BRONZE BUTLER",
			"aliases": [
				"CTG-2006 ",
				"Daserf",
				"Stalker Panda ",
				"Swirl Typhoon ",
				"Tick "
			],
			"source_name": "Secureworks:BRONZE BUTLER",
			"tools": [
				"ABK",
				"BBK",
				"Casper",
				"DGet",
				"Daserf",
				"Datper",
				"Ghostdown",
				"Gofarer",
				"MSGet",
				"Mimikatz",
				"Netboy",
				"RarStar",
				"Screen Capture Tool",
				"ShadowPad",
				"ShadowPy",
				"T-SMB",
				"down_new",
				"gsecdump"
			],
			"source_id": "Secureworks",
			"reports": null
		},
		{
			"id": "d4e7cd9a-2290-4f89-a645-85b9a46d004b",
			"created_at": "2022-10-25T16:07:23.419513Z",
			"updated_at": "2026-04-10T02:00:04.591062Z",
			"deleted_at": null,
			"main_name": "Bronze Butler",
			"aliases": [
				"Bronze Butler",
				"CTG-2006",
				"G0060",
				"Operation ENDTRADE",
				"RedBaldNight",
				"Stalker Panda",
				"Stalker Taurus",
				"Swirl Typhoon",
				"TEMP.Tick",
				"Tick"
			],
			"source_name": "ETDA:Bronze Butler",
			"tools": [
				"8.t Dropper",
				"8.t RTF exploit builder",
				"8t_dropper",
				"9002 RAT",
				"AngryRebel",
				"Blogspot",
				"Daserf",
				"Datper",
				"Elirks",
				"Farfli",
				"Gh0st RAT",
				"Ghost RAT",
				"HOMEUNIX",
				"HidraQ",
				"HomamDownloader",
				"Homux",
				"Hydraq",
				"Lilith",
				"Lilith RAT",
				"McRAT",
				"MdmBot",
				"Mimikatz",
				"Minzen",
				"Moudour",
				"Muirim",
				"Mydoor",
				"Nioupale",
				"PCRat",
				"POISONPLUG.SHADOW",
				"Roarur",
				"RoyalRoad",
				"ShadowPad Winnti",
				"ShadowWali",
				"ShadowWalker",
				"SymonLoader",
				"WCE",
				"Wali",
				"Windows Credential Editor",
				"Windows Credentials Editor",
				"XShellGhost",
				"XXMM",
				"gsecdump",
				"rarstar"
			],
			"source_id": "ETDA",
			"reports": null
		}
	],
	"ts_created_at": 1775434907,
	"ts_updated_at": 1775792173,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/1d7c2d24de19a1c6d8fde96bbfa1215576db37b2.pdf",
		"text": "https://archive.orkl.eu/1d7c2d24de19a1c6d8fde96bbfa1215576db37b2.txt",
		"img": "https://archive.orkl.eu/1d7c2d24de19a1c6d8fde96bbfa1215576db37b2.jpg"
	}
}