# 標的型攻撃の実態と 対策アプローチ

##### 日本を狙うサイバーエスピオナージ（標的型攻撃）の動向2023年度

###### 2024 年 5 月 1日

 株式会社マクニカ


-----

## 目次

###### ■ はじめに ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 2

 ■ 攻撃のタイムラインと攻撃が観測された業種 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 3

 ■ 攻撃の概要 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 5

 2023 年 4 月 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 5

 2023 年 5 月 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 5

 2023 年 6 月 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 7

 2023 年 7 月 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 7

 2023 年 10 月 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 9

 2024 年 1 月 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 10

 2024 年 3 月 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 11

 ■ 新しいTTPs や RAT など ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 12

 Mustang Panda（PUBLOAD） ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 12

 攻撃キャンペーンの概要 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 12

 Mustang Panda 攻撃キャンペーンの特徴と検出 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 18

 Mustang Panda（ 東南アジア圏で観測されたPlugDisk による攻撃 ）・・・・・・・・・・・・・・・・・ 20

 攻撃キャンペーンの概要 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 20

 感染フロー ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 20

 PlugDisk 詳細解析 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 23

 PlugDisk USB を介した感染の考察 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 29

 Ivanti 製品の脆弱性を悪用した攻撃キャンペーン ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 30

 攻撃キャンペーンの概要 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 30

 国内で観測された悪用事例 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 30

 パッシブバックドア ProxDoor ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 31

 ■ 攻撃グループごとの TTPs（ 戦術 、 技術 、 手順 ） ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 34

 ■ TTPs より考察する脅威の検出と緩和策 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 36

 マルウェアの配送・攻撃について ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 36

 インストールされるRAT、遠隔操作（C2 サーバについて ） ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 36

 ■ 検知のインディケータ ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 37

本資料に記載されている情報は 、株式会社マクニカが信頼できると判断したソースを活用して記述されていますが 、

そのソースを株式会社マクニカが保証しているわけではありません。この資料に、著者の意見が含まれる場合があ

り ま すが 、そ の 意見は 変 更され る ことが あ ります。この資料は、株式マクニカが著作権を有しています。この資料を、

全体または一部を問わず 、 ハードコピー形式か 、電子的か、またはそれ以外の方式かに関係なく 、株式会社マクニ


-----

## はじめに

マクニカでは 、セキュリティ研究センターを中心に 、日本の組織に着弾する標的型攻撃 （ サイバーエスピオナー

ジ ） を 2014 年から分析してきました 。 情報窃取を目的としたこの種のサイバー攻撃は 、 ランサムウェアによる

攻撃と違って長期間に渡って侵害に気づかない組織が多く 、 表面化するケースも比較的少ないため 、 情報共有が

されにくいと言えます 。 しかし 、 国内外のサイバーセキュリティ業界の長年の努力によって今日まで収集された

攻撃痕跡 （ マルウェア 、 攻撃インフラ 、 ログ ） を分析していくと 、 各攻撃グループの TTPs、 目的や意図 、 スキ

ルレベルなどが 、 徐々に浮き彫りになってきています 。 このような取り組みは 、 組織を超えた戦略的な情報共有

とインテリジェンスへの昇華によって成り立ちます 。

本レポートでは 、2023 年度 (2023 年 4 月から 2024 年 3 月 ) に観測された 、 日本の組織から機密情報 ( 個

人情報 、 政策関連情報 、 製造データなど ) を窃取しようとする攻撃キャンペーンの分析結果について注意喚起を

目的として記載しています 。 ステルス性の高い遠隔操作マルウェア (RAT) を用いた事案を中心に 、 新しい攻撃

手法やその脅威の検出について記載しています 。 レポートの最後には 、 本文中で紹介した攻撃キャンペーンで使

われたインディケータを掲載しています 。

2023 年度は 、 ここ 10 年ほど継続しているスピアフィッシングに加え 、 外部公開アセットからの侵入 、 更には

USB や Wi-Fi アクセスポイントからの物理的な侵入なども観測され 、「 標的型攻撃 」 に分類される攻撃は活発で

あった印象があります 。 侵入方法においては 、 特に様々な手法を駆使して標的組織に侵入しようとしているよう

な傾向が見られました 。 侵入方法の中で外部公開アセットの脆弱性を攻撃して侵入するケースが増加している事

が一因となり 、これまで観測のなかったと思われる攻撃グループの観測も見られており 、注意が必要と思われます 。

また 、 攻撃者間での攻撃ツールのシェアリング 、 オープンソースの遠隔操作ツールなどの活用などもあり 、 攻撃

者の帰属に難しさが生じています 。

これまでの標的型攻撃の傾向と比べると 、 メディアや安全保障 ・ 外交関連といったここ 10 年ほど継続して標的

とされている業界がある一方 、 広い分野に渡る製造業などは攻撃者の目標の変化があり 、 ひそかに新しい標的に

攻撃が来るような事態が起こり始めていると思われます 。 残念ながら 、 標的型攻撃に分類される特定の組織だけ

を狙った攻撃はまだまだ継続しており 、 警戒が必要な状況です 。 このような日本企業の産業競争力を徐々に蝕ん

でいく標的型攻撃に対して 、 今後も粘り強い分析と啓蒙活動に取り組んでいく所存です 。

本書には 、 検体解析のような技術的に深い内容も含まれるため 、 少々難しいと感じられる読者もいらっしゃると

思います 。 そのような場合 、 難解な箇所はスキップして前半の標的型攻撃の対象となった業種と攻撃が発生した

国内組織の拠点地域 、 後半の攻撃への対策といった箇所だけでも対策の参考にして頂ければと思います 。


-----

## 攻撃のタイムラインと攻撃が観測された業種

2023 年度は 、 昨年度までの攻撃 [1] と比較して新たな攻撃グループが多く出現しています 。Barracuda ESG

の CVE-2023-2868 脆弱性攻撃から組織に侵入した UNC4841 [2] 攻撃グループ 、RatelS [3] 遠隔操作マルウェ

アでインフラ関連組織を標的に攻撃を行った TELEBOYi 攻撃グループ [4]、BLOODALCHEMY [5 6] 遠隔操作マル

ウェアで製造関連組織を標的に攻撃を行った Vapor Panda 攻撃グループ [7]、Ivanti 社の

CVE-2023-46805/CVE-2024-21887 脆弱性を攻撃して学術系並びに製造業種で攻撃が観測された

UNC5221 [8] 攻撃グループ です 。一方で 、2022 年度やそれ以前にも日本を標的としていた攻撃グループとして 、

APT10 攻撃グループの LODEINFO マルウェア [9] を使った攻撃 、Tropic Trooper 攻撃グループの

EntryShell [10] マルウェアを使った攻撃 、Mustang Panda 攻撃グループの PlugX [11] や PUBLOAD [12 13] マル

ウェアを使った攻撃 、攻撃主体は分析中ではあるものの中国の攻撃グループで利用が報告されているオープンソー

スの Stowaway を悪用した攻撃などが観測されました 。


表 1. タイムチャート


1

2

3

4

5

6

7

8

9

10

11

12

13


政府関連 製造関連 インフラ 学術 不明

https://www.macnica.co.jp/business/security/security-reports/pdf/cyberespionage_report_2022.pdf

https://www.mandiant.com/resources/blog/barracuda-esg-exploited-globally

https://www.lac.co.jp/lacwatch/report/20230914_003513.html

https://jsac.jpcert.or.jp/archive/2024/pdf/JSAC2024_1_8_yi-chin_yu-tung_en.pdf

https://www.elastic.co/security-labs/disclosing-the-bloodalchemy-backdoor

https://www.botconf.eu/botconf-presentation-or-article/into-the-vapor-to-tracking-down-unknown-pandas-claw-marks/

https://www.crowdstrike.com/adversaries/vapor-panda/

https://www.mandiant.jp/resources/blog/investigating-ivanti-zero-day-exploitation

https://blogs.jpcert.or.jp/ja/tags/lodeinfo/

https://www.virusbulletin.com/uploads/pdf/conference/vb2023/slides/Slides-Unveiling-Activities-of-Tropic-Trooper.pdf

https://unit42.paloaltonetworks.jp/plugx-variants-in-usbs/

https://csirt-cti.net/2024/01/23/stately-taurus-targets-myanmar/

htt // it42 l lt t k j / hi t t t titi /


-----

不明


学術

クリティカルインフラ

政府関連


製造


図 1. 標的業種の割合（2023 年度 ）


標的型攻撃の侵入パターンとして 、 これまではスピアフィッシングがもっとも多く観測されていましたが 、2023

年度は外部公開アセットの脆弱性を攻撃して侵入するケースがもっとも多くなっています 。 それに加え 、 製造関連

組織の海外拠点などでは組織の近傍で Wi-Fi アクセスポイントを悪用して組織に侵入する 、USB デバイスからマ

ルウェアに感染するといった手法も観測されています 。

Wi-Fi アクセスポイント

USB

外部公開アセット

スピアフィッシング


図 2. アタックサーフェースの割合（2023 年度 ）


-----

## 攻撃の概要

以下は 、4 月から 3 月までの月ごとに観測された攻撃の概要を記載しています 。

###### 2023 年 4 月

APT10 LODEINFO ( 標的 : 不明 )

APT10 攻撃グループの LODEINFO v0.6.9 がパブリックマルウェアリポジトリにアップロードされた事を観

測しました 。 アップロードされたファイル名 「Elze.exe」「frau.dll」「Elze.exe_」 が LODEINFO v0.6.8

のダウンローダがドロップするファイル名と同じである事 、v0.6.9 の感染フローで ”Remote Template

Injection” のテクニックの利用を観測したレポートが公開されている事 [14] から 、4 月にアップロードされたファ

イルもスピアフィッシングメールでドキュメントファイルが配送されて最終的にドロップされたものであると推

測しています 。 機能的には v0.6.8 との大きな違いはみられませんでした 。


図 3. ペイロードに埋め込まれているバージョン情報


###### 2023 年 5 月

Tropic Trooper ( 標的 : 製造関連 )

Cobalt Strike や EntryShell マルウェアを遠隔操作ツールとして利用した Tropic Trooper 攻撃グループの

攻撃が 、 製造関連企業の中国拠点で観測されました 。 スピアフィッシングメールや中国で人気のチャットツール

を使ってマルウェアが配送された他 、 組織の Wi-Fi アクセスポイントと同様の偽アクセスポイントを使って情報

を窃取しつつ 、 窃取した情報で正規の Wi-Fi アクセスポイントから侵入し 、 リモートログオンに成功した PC に

マルウェアを設置するといった物理的な侵入も行っていました 。 また 、 攻撃の 2 次バックドアとして

FamousSparrow 攻撃グループの SparrowDoor マルウェアと関連の見られる CrowDoor [15] バックドアや

Visual Studio Code の Remote Tunnel を使った攻撃者による遠隔コマンドの実行 [16] が観測されました 。


14

15

16


https://blog.itochuci.co.jp/entry/2024/01/24/134047

https://blog.itochuci.co.jp/entry/2023/10/06/003000

h //j j j / hi /2024/ df/JSAC2024 2 3 d h df


-----

図 4. CrowDoor バックドアのコマンド命令


Vapor Panda ( 標的 : 製造関連 )

製造関連企業の VPN 装置に窃取したアカウントで不正侵入した後 、組織内のリモート接続可能な Windows サー

バに DLL サイドローディングを行うマルウェアを設置した攻撃が検出されました 。 設置されたファイルは 、 ブラ

ザー工業社の正規実行ファイル BrDifxapi.exe とローダ DLL の BrLogApi.dll、暗号ファイルの DIFX でした 。

BrDifxapi.exe が実行されると 、BrLogApi.dll が DIFX ファイルを読んで AES で復号してシェルコードを実

行します 。 このシェルコードから展開されるバックドアペイロードは 、BLOODALCHEMY で C2 サーバが

HTTPS[:]cdn1ac7bdd3[.]jptomorrow[.]com でした 。


図 5. BLOODALCHEMY マルウェアのコンフィグに含まれる文字列


-----

###### 2023 年 6 月

Mustang Panda ( 標的 : 製造関連 )

製造関連企業のベトナム拠点で PC に差し込まれた USB リムーバブルドライブから 、PlugX マルウェアへの感

染を狙った攻撃が検出されました 。USB リムーバブルドライブは 、 以前に同じ PlugX に感染した別の PC で使

われた事があると思われ 、PlugX マルウェアにより USB リムーバブルドライブに自身をコピーして別の PC で

感染するように細工が施されていました 。 リムーバブルドライブのルートフォルダには 、 リムーバブルドライブ

へのアクセスを行うショートカットファイルと隠しフォルダが設定され 、 ショートカットファイルを実行する事

で 、 隠しフォルダの PlugX マルウェアの PC への設置と実行がなされつつ 、 リムーバブルドライブの本来ファ

イルが表示される攻撃となっていました 。


図 6. PlugX の感染が仕込まれたリムーバブルフォルダ


###### 2023 年 7 月

APT10 LODEINFO ( 標的 : 不明 )

APT10 攻撃グループの LODEINFO v0.7.1 のダウンローダがパブリックマルウェアリポジトリにアップロー

ドされた事を観測しました 。 ドキュメントに含まれるマクロは複数の base64 でエンコードされた文字列を連結

してデコードすることでシェルコードのバイト文字列を生成します 。 マクロを有効にした後に 、 表示されている

「OK」 ボタンを押下すると 、 外部サーバから LODEINFO の実行に必要な複数ファイルがバンドルされた暗号化

ファイルがダウンロードされ 、 復号 ・ 実行されます 。

また 、 ダウンローダである doc ファイルには button オブジェクトが多数埋め込まれており 、 ファイルサイズが

約 6.8M に肥大化していました 。 これらの特徴はサンドボックスによる動的解析とシグネチャベースのアンチウ

イルス製品の検知回避を意図したものであるとみています 。


-----

図 7. v0.7.1 ダウンローダ ドキュメントファイル


-----

図 8. ドキュメントファイルに埋め込まれた多数の buttonオブジェクト


シェルコードはハードコードされたバイト文字列をシングルバイトで XOR して URL の文字列を準備し 、

URLDownloadToFile() でファイルをダウンロードします 。 今回のバージョンではダウンロードしたファイル

は PEM 形式の証明書として偽装されており 、"-----BEGIN CERTIFICATE-----" から "-----END

CERTIFICATE-----" までの文字列を base64 でデコードして 、 先頭から 3 バイト目以降を AES で復号し 、 続

いて AES で復号したデータの 3 バイト目の値を使ってシングルバイトの XOR でデータを復号します 。 ファイ

ルはこれまでと同様に 3 つのファイルが含まれており 、 ファイルサイズ 、 ファイル名 、 データのフォーマットで

分割して %UserProfile%\Downloads にファイルを保存して実行します 。

###### 2023 年 10 月

NA ( 標的 : 製造関連 )

製造関連企業にて 、 ウェブサーバにオープンソースの Go 言語で開発された Stowaway が UPX でパックされ

て設置されました 。Stowaway はファイルのアップロード 、ダウンロードとリモートシェルの機能を持ったバッ

クドアまたはトラフィックを中継するプロキシで 、 中国を拠点としたいくつかの攻撃グループによって攻撃に利

用されており [17]、 中国を拠点とした攻撃グループによる可能性があると思われます 。


-----

図 9. Github で公開されているSTOWAWAY


###### 2024 年 1 月

UNC5221 ( 標的 : 学術 、 製造関連 )

Ivanti 社 CVE-2023-46805 CVE-2024-21887 の脆弱性をついた攻撃が確認されました 。Ivanti 社の

Linux OS 上に ELF バイナリとして動作するバックドアやウェブシェルとして動作するよう改竄されたファイル

などの他 、 クレデンシャルをダンプした結果の出力ファイルなどが国内でも複数の組織で確認されました 。


図10 . Ivanti 社 VPN 製品上でバックドアコードを追加して改竄された python ファイル


-----

###### 2024 年 3 月

Mustang Panda ( 標的 : 政府関連 )

日本を含むアジア諸国の外交 、 政府関連を狙ったスピアフィッシング攻撃キャンペーンが観測されました 。 観測

された 1 つのファイルは 「Talking_Points_for_China.zip」 です 。Zip ファイルには 、

Talking_Points_for_China.exe と KeyScramblerIE.DLL が含まれており 、

Talking_Points_for_China.exe を実行すると 、KeyScramblerIE.DLL がロードされて DLL に含まれる

シェルコードが実行され 、103.27.109[.]157 TCP/443 と通信を行い 、 更なるペイロードのダウンロード

を試みます 。


図11 . Talking_Points_for_China.zipに含まれるファイル


-----

## 新しい TTPs や RAT など

ここでは 、 先に引用させて頂いた公開されている調査報告ではまだ触れられていない観測や分析を中心に 、 少

し詳しく紹介します 。

###### Mustang Panda (PUBLOAD)

攻撃キャンペーンの概要

2022 年頃から観測されている Mustang Panda の日本を含むアジア諸国の外交 、 政府関連を狙ったスピア

フィッシング攻撃キャンペーンの 2024 年 3 月に観測された PUBLOAD 検体について記載します 。スピアフィッ

シングメールに添付の 「Talking_Points_for_China.zip」 に含まれる Talking_Points_for_China.exe と

KeyScramblerIE.DLL ですが 、DLL ファイルにはシステム属性と隠し属性が設定されており 、 通常の表示設

定では見ることができません 。

Talking_Points_for_China.exe をユーザが実行すると 、KeyScramblerIE.DLL がロードされて 、

C:\Users\\Public\Libraries\SmileTV フォルダにこの 2 つの EXE と DLL ファイルがコピーされます 。

KeyScramblerIE.DLL のエクスポート関数 「KSInit」 にマルウェア由来のコードが含まれており 、

HKYE_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run に

"KeyScrambler" を追加して 、 コピーした EXE ファイルの自動起動エントリーが作成されます 。


図12 . PUBLOAD の ChooseColorW() によるシェルコード実行


-----

DLL ファイルに埋め込まれているエンコードされたシェルコード文字列は 、 これと別に用意された文字列の

テーブルを使って XOR でデコードされ 、ChooseColowrW() のハンドラ関数として登録し起動されます 。 シェ

ルコードは E9 のジャンプ命令で 2 回ジャンプを経て実際のコードが開始される作りになっており 、 処理の最初

に ror13AddHash32 のハッシュ値を使い Win32 API のアドレスをロードします 。


図13 . PUBLOAD のシェルコード


シェルコードの処理は 103.27.109[.]157 TCP/443 と通信を行い 、2nd Stage のシェルコードをダ

ウンロードして実行する作りになっています 。 通信プロトコルはこれまで報告されているもの [18] と同じ鍵と

RC4 で通信データを暗号化します 。

データフォーマット : 17 03 03 + Length (2byte) + RC4 Encrypted data

18 https://www trendmicro com/ja jp/research/23/e/earth preta updated stealthy strategies html


-----

鍵 :0x785a124d751414116c0271155a7305087014653b644222232000000000000000


図14 . RC4 で暗号化された通信データ


また 、 観測された 2nd Stage のシェルコードは DLL から展開されるシェルコードと同じ宛先に同じプロト

コルで通信するもので 、11 個の遠隔操作命令を持っています 。 今回分析したペイロードもこれまで報告されて

いるもの [19] と同様と思われます 。


表 2. PUBLOAD 2nd Stage ペイロードの遠隔操作命令


19 https://lab52 io/blog/1943 2/


-----

Mustang Panda 攻撃グループは 、103.27.109[.]157 を C2 サーバのアドレスとしてしばらく攻撃を継

続していると思われ 、 いくつかの関連ファイルがパブリックマルウェアリポジトリにアップロードされています 。

そのうちの 1 つ 「Proposed List of China Philippines Maritime Cooperation Projects.zip」 ファ

イルに含まれる PUBLOAD の DLL ファイルはアンチウィルスマルウェアでの検出が非常に悪いものと思われま

す 。


図15 . 103.27.109[.]157と関連のあるマルウェア


「Proposed List of China Philippines Maritime Cooperation Projects.zip」 ファイルに含まれる

PUBLOAD の DLL ファイルをこの他の PUBLOAD マルウェアの DLL ファイルとの類似性をコード類似性分

析ツール MCRIT [20] で分析をさせてみると 、 他のマルウェアと比較すると PUBLOAD と類似性があるものと結

果が得られます 。 一方で静的分析を進めてみると 、 ローダ DLL としての主な処理箇所であるシェルコードを準備

して実行する箇所の変更が大きく 、 アンチウイルス製品でのファイル検出が難しくなっていると思われます 。

20 https://github com/danielplohmann/mcrit


-----

図16 . MCRIT での PUBLOAD DLL の類似性の分析


PUBLOAD のコード変更ですが 、 これまでの PUBLOAD 検体に見られるような CreateEvent() といった

関数や XOR でのデコード処理が無くなっています 。 エンコードされたシェルコードをデコードする処理は 、 ユ

ニークなものになりメモリのスタックにコピーした様々な動物や植物などの文字列を検索マーカとして 0x28 バ

イト先のオフセットにあるバイトを繰り返しコピーしてシェルコードを生成するような作りになっています 。 生

成されたシェルコードは EnumPropsExW() 関数に登録されて実行されます 。 また 、 ここで生成されるシェル

コードの作りと通信先に変更はありません 。


-----

図17 . シェルコードの生成ルーチン


図18 . シェルコードの実行関数 EnumPropsExW()


メモリ上で実行されるシェルコードに変更はないため 、 メモリスキャナーで検出が有効と思われますが 、 注意

が必要です 。EnumPropsExW() 関数に登録されたコールバック関数はメモリの実行領域に置かずに実行する事

が可能と思われ 、 パフォーマンスや過検出を考慮して実行領域を中心にメモリをスキャンするツールでは 、 シェ

ルコードのあるメモリセグメントがスキャン対象外となって検出が迂回される可能性があります 。 一方 、2nd

Stage のシェルコードがダウンロードされた場合は 、VirtualProtect() 関数でメモリの実行領域に置かれた

2nd Stage シェルコードが実行されるため 、 実行領域を中心にスキャンを行うツールでも検出が行えます 。


-----

図19 . 非実行領域のメモリセグメントに展開されて実行される PUBLOAD シェルコード


Mustang Panda 攻撃キャンペーンの特徴と検出

Mustang Panda の日本を含むアジア諸国の外交 、 政府関連を狙ったスピアフィッシング攻撃キャンペーン

では多くの国に同じ攻撃が展開されていると思われ 、 オープンソースのインテリジェンスをベースとした攻撃の

特徴に気を付けメールの添付ファイルをむやみに実行しないような注意が必要です 。 攻撃が実行されてしまった

場合 、 メモリ上のシェルコードの検出がツールによっては難しいケースがある事にご注意ください 。 ネットワー

クの IOC や EDR ツールで遠隔操作コマンドの実行を振舞で検出する事は容易かと思われます 。


-----

PUBLOAD のシェルコードを検出する YARA ルール


rule MNC_APT_2024_PUBLOAD_Shell

{

strings:

$hx1 = { 89 4D F4 8B 55 F8 8A 84 15 EC FE FF FF 88 45 FF 8B 4D F8 8B 55 F4 8A 84 15 EC FE FF FF 88 84 0D EC FE FF FF 8B 4D

F4 8A 55 FF 88 94 0D EC FE FF FF 8B 45 F8 0F B6 8C 05 EC FE FF FF 8B 55 F4 0F B6 84 15 EC FE FF FF 03 C8 89 4D EC 8B 4D 08 03 4D

F0 0F B6 09 8B 45 EC 33 D2 BE 00 01 00 00 F7 F6 0F B6 94 15 EC FE FF FF 33 CA 88 4D FE 8B 45 08 03 45 F0 8A 4D FE 88 08 }

$hx2 = { 55 8B EC 83 EC 0C 83 7D 0C 00 7F 07 C7 45 0C 01 00 00 00 C7 45 F8 00 00 00 00 EB 09 8B 45 F8 83 C0 01 89 45 F8 81 7D

F8 00 01 00 00 7D 0D 8B 4D 10 03 4D F8 8A 55 F8 88 11 EB E1 C7 45 F4 00 00 00 00 C7 45 F8 00 00 00 00 EB 09 8B 45 F8 83 C0 01 89 45

F8 81 7D F8 00 01 00 00 7D 57 8B 45 F8 99 F7 7D 0C 8B 4D 08 0F B6 14 11 8B 45 10 03 45 F8 0F B6 08 03 55 F4 03 CA 81 E1 FF 00 00 80

79 08 49 81 C9 00 FF FF FF 41 89 4D F4 8B 55 10 03 55 F8 8A 02 88 45 FF 8B 4D 10 03 4D F8 8B 55 10 03 55 F4 8A 02 88 01 8B 4D 10 03

4D F4 8A 55 FF 88 11 EB 97 83 C8 FF 8B E5 5D }

condition:

all of them

}


図20 . JPCERT YAMA [21] を使った感染プロセスの検出


21 https://blogs jpcert or jp/ja/2023/08/yama html


-----

###### Mustang Panda ( 東南アジア圏で観測された PlugDisk による攻撃 )

攻撃キャンペーンの概要

2023 年 6 月 、 国内製造業のベトナム拠点の PC が中国を拠点とした攻撃グループが使う遠隔操作マルウェア

の 1 つである PlugX に USB リムーバブルメディアから感染した事を観測しました 。 感染機器からは PlugX の

暗号化ファイルを入手することができませんでしたが 、 パブリックマルウェアリポジトリから同じ名称のファイ

ルを 2 つ入手し分析しました 。 その結果 、 ローダの構造と通信先が Mustang Panda のものと一致しており 、

攻撃の主体者が Mustang Panda である可能性が高いと考えています 。TeamT5 は 、 この USB 感染機能を

持つ PlugX を ”PlugDisk” と呼称しています [22]。

感染フロー

USB 内にあるショートカットファイルを実行すると 、USB の別フォルダに保存されている PlugDisk 関連の

ファイルが実行されます 。


図21 . USB に保存されているショートカットファイル


ショートカットファイルを実行すると 、USB 内にある Docusment\1\1.exe が実行されます 。1.exe は 、

Adobe 社の正規ファイル AdobePhots.exe をリネームしたもので 、同じ場所にある Adobe_Caps.dll がロー

ドされて PlugDisk の暗号化ファイル AdobeDb.dat が読み込まれてメモリ上で PlugDisk が復号 ・ 実行され

ます 。

22 https://jsac jpcert or jp/archive/2023/pdf/JSAC2023 2 LT4 pdf


-----

図22 . ショートカットファイルに設定されているコマンド


また 、USB 内のフォルダにはシステム属性と隠し属性が設定されており 、Windows OS の初期設定では表

示されないようになっています 。 それらのフォルダとファイルは 、FTK Imager などのフォレンジックツールを

使い確認することができます 。


図23 . システム属性 、隠し属性のファイル表示を有効にした状態


図24 . FTK Imager で表示した USB 内のファイル


-----

USB から実行された PlugDisk は設定に従い 、感染端末上の特定の場所に PlugDisk 関連のファイルをコピー

し 、 パーシステンスのための Run レジストリキーを追加します 。


図25 . 感染機器に設置された PlugDisk 関連のファイル


その後 、 コピーしたファイルを実行した後に自身は終了します 。PlugDisk の処理は起動したファイルの方で

引き継ぐ形となり 、PlugDisk 本体のコードは Microsoft 社の正規実行ファイル tasklist.exe にインジェク

ションされて動作します 。 インジェクションされた tasklist.exe には 、 通常存在しない 4 つの起動パラメータ

( 今回の例では 、646, 345, 173, 242) が付与されています 。


図26 . PlugDisk 本体のコードがインジェクションされたtasklist.exe


-----

###### PlugDisk 詳細解析

 感染機器からは 、 暗号化ファイル Adobedb.dat を入手できていませんが 、 パブリックマルウェアリポ

 ジトリから入手した

 Adobedb.dat(SHA256:b3caefb141bc47c702e71f773ed246bb9f905a222840365f

 2d6e432218605fd5) が起動時に付与するパラメータの形式や 、 インジェクション 、USB に生成す

 るファイル名などの振る舞いが同じであることから 、 同じタイプの PlugDisk が使われたと考えています

 。 本レポートではこの暗号化ファイルを使った分析結果について記載します 。

 PlugDisk ローダの Adobe_Caps.dll には 、 暗号化ファイルの名称が固定で埋め込まれています 。


図27 . PlugX ローダが読み込む暗号化ファイル名


###### また 、 ローダと PlugDisk 本体は解析を阻害するために Control Flow Flattening (CFF) [23]によって

 処理フローが難読化されています 。

23 https://news sophos com/ja jp/2022/05/04/attacking emotets control flow flattening jp/


-----

図28 . Control Flow Flattening によって処理フローが難読化されたコード


###### PlugDisk の暗号化ファイルはマルチバイトの鍵で XOR されており 、 その鍵はファイル先頭から 0x00

 (NULL バイト ) までのバイト列です 。


-----

図29 . PlugX 暗号化ファイルの鍵


PlugX の設定情報は 、PlugX の .data セクションの先頭から 0xDDB バイトの領域で 、 暗号化ファイルを復

号する鍵とは異なる鍵 ”123456789” を使い XOR でエンコードされています 。


図30 . PlugX の設定情報


暗号化ファイルから PlugX と設定情報を抽出する Python スクリプトを以下に記載します 。


-----

-----

current_key = key[loop_condition % klen]
decoded.append(c ^ current_key)
loop_condition += 1

else:
decoded=config
s = ""
ConfigItems=[]

decoded = decoded[0x20:]
getUTF16LE_ConfigItem(decoded[0x00:0x80], ConfigItems)
getUTF16LE_ConfigItem(decoded[0x80:0x80+0x80], ConfigItems)
getUTF16LE_ConfigItem(decoded[0x100:0x100+0x288], ConfigItems)
getUTF16LE_ConfigItem(decoded[0x388:0x388+0x208], ConfigItems)
getUTF16LE_ConfigItem(decoded[0x590:0x590+0x208], ConfigItems)

# C2 1
c2_base_addr = 0x798
flag = decoded[c2_base_addr+1] << 8 ¦ decoded[c2_base_addr]
ConfigItems.append(str(flag))
port = decoded[c2_base_addr+3] << 8 ¦ decoded[c2_base_addr+2]
ConfigItems.append(str(port))
getASCII_ConfigItem(decoded[c2_base_addr+4:c2_base_addr+4+0xC0], ConfigItems)
# C2 2
c2_base_addr = 0x85C
flag = decoded[c2_base_addr+1] << 8 ¦ decoded[c2_base_addr]
ConfigItems.append(str(flag))
port = decoded[c2_base_addr+3] << 8 ¦ decoded[c2_base_addr+2]
ConfigItems.append(str(port))
getASCII_ConfigItem(decoded[c2_base_addr+4:c2_base_addr+4+0xC0], ConfigItems)
# C2 3
c2_base_addr = 0x920
flag = decoded[c2_base_addr+1] << 8 ¦ decoded[c2_base_addr]
ConfigItems.append(str(flag))
port = decoded[c2_base_addr+3] << 8 ¦ decoded[c2_base_addr+2]
ConfigItems.append(str(port))
getASCII_ConfigItem(decoded[c2_base_addr+4:c2_base_addr+4+0xC0], ConfigItems)
# C2 4
c2_base_addr = 0x9E4
flag = decoded[c2_base_addr+1] << 8 ¦ decoded[c2_base_addr]
ConfigItems.append(str(flag))
port = decoded[c2_base_addr+3] << 8 ¦ decoded[c2_base_addr+2]
ConfigItems.append(str(port))
getASCII_ConfigItem(decoded[c2_base_addr+4:c2_base_addr+4+0xC0], ConfigItems)

return ConfigItems

def main():
parser = argparse.ArgumentParser(
formatter_class=argparse.RawDescriptionHelpFormatter,
description="",
)
parser.add_argument("-f", "--file", help="PlugX Loader File")

args = parser.parse_args()

if args.file:
try:
loaderDecode(args.file)
data = getData("PlugX_Loader_Decoded.exe")
with open("PlugX_Loader_Decoded.exe", 'rb') as f:
f.read(data)
todecode = f.read(0xDD8)
config=configDecode(todecode)
print("Extracted Configuration Items")
for c in config:
print(c)
except:
print("Something didn't work right, ensure this is a PlugX Loader file and "
"that the correct arguments were passed")

if __name__ == "__main__":
main()


-----

###### PlugDisk は DLL ファイルの形態で 、 その MZ ヘッダー先頭部がシェルコードになっています 。 そのシェ

 ルコードを系由してエクスポート関数 「StartProtect」 が呼ばれメイン処理に移ります 。


図31 . PlugX MZ ヘッダーに埋め込まれているシェルコード


###### PlugDisk は感染機器上に USB デバイスが接続されていないかをモニターし 、 接続を確認すると USB に

 PlugDisk の関連ファイルをコピーし 、USB にショートカットファイルを作成します 。 また接続した USB

 ファイルに元々保存されていたファイルは 、USB 内部の別フォルダに移動させて見えなくし 、USB の保有

 者にショートカットファイルを実行させるよう誘導しています 。 ショートカットファイルを実行すると 、

 PlugDisk の実行と合わせて元々保存されていたファイルの移動先を表示させて疑いを持たせづらくして

 います 。


図32 . PlugDisk USB 感染処理


-----

###### PlugDisk USB を介した感染の考察

 弊社が分析したケースでは 、PlugDisk に感染した USB が最初にどのようにして持ち込まれたかを特定

 することはできませんでした 。 セキュリティベンダー Mandiant 社の調査では 、 地域のプリントショップ

 やホテルの USB を接続できる機器が感染源である可能性があることと USB 経由で PlugDisk に感染させる

 キャンペーンは 、 国の支援を受けた攻撃グループが関心のあるエリアで長期間の対象を選ばない諜報もし

 くは活動後期の追加情報を得ることが目的ではないかという見解を公開しています [24]。

 本ケースも 2021 年には存在が観測されている比較的古いローダが使われていることと拡大手法から無差

 別の情報収集を目的としたキャンペーンでたまたま着弾したのではないかとみています 。

 弊社は USB による感染を 2022 年から国内企業の東南アジア拠点で複数観測しています [25]。 特に製造業で

 は業務で USB を使うケースが多くあるため 、 引き続き USB 系由での攻撃は続くとみています 。 また

 2023 年 12 月に脅威リサーチャーによってローダが Nim 言語で開発された USB 系由で感染する

 PlugDisk も確認されています [26]。


24

25

26


https://www.mandiant.com/resources/blog/infected-usb-steal-secrets

https://www.virusbulletin.com/conference/vb2023/abstracts/usb-flows-great-river-classic-tradecraft-still-alive/

h // /M lG 12/ /1735641623206277356


-----

###### Ivanti 製品の脆弱性を悪用した攻撃キャンペーン

攻撃キャンペーンの概要

2024 年 1 月から 2 月にかけて公開された Ivanti Connect Secure、Ivanti Policy Secure ゲートウェ

イの複数の脆弱性は日本を含め世界中の組織に大きな影響を与えました 。 脆弱性の公開に続いてかなり早いタイ

ミングで PoC が公開されたことから特定の組織を狙った攻撃だけでなく手当たり次第に多くの組織を狙った攻撃

でも悪用され 、 弊社でも改竄 ・ 設置された多くのファイルを分析しました 。 本章では我々の分析からみえた傾向

と本レポート執筆時点で情報が公開されていないバックドアについて解説します 。

国内で観測された悪用事例

認証バイパス （CVE-2023-46805） とコマンドインジェクション （CVE-2024-21887） を悪用した攻撃

の多くで WIREFIRE と命名された Web Shell が見つかりました 。 一方で ZIPLINE と命名された accept 関

数をハイジャックするバックドアは WIREFIRE が見つかった一部の機器で見つかりました 。 ファイルのタイム

スタンプも考慮すると 、WIREFIRE を使い情報を収集し更なる活動を行うことを決めた組織においてのみ

ZIPLINE を設置していた可能性があると考えています 。 我々の観測範囲では数は少ないですが 、Web ログオン

中に入力した認証情報を別サーバに送信する WARPWIRE と LIGHTWIRE Web Shell の亜種を観測していま

す 。 また 、 サーバーサイド・リクエスト・フォージェリ （SSRF）（CVE-2024-21893） を悪用した攻撃では 、

DSLog backdoor [27] が設置されたケースを複数確認しました 。 悪用された脆弱性は不明ですが 、 オープンソー

ス C2 フレームワークの Sliver が設置されたケースも確認しています 。


図33 . 脆弱性・PoC 公開と弊社で攻撃を確認した時期


27 https://www orangecyberdefense com/uk/blog/research/ivanti connect secure journey to the core of the dslog backdoor


-----

パッシブバックドア ProxDoor

弊社の分析の中で ZIPLINE [28]、SPAWNMOLE [29] とは異なるパッシブバックドアを発見し 、”ProxDoor”

と命名しました 。ProxDoor は ELF 形式の共有ライブラリファイルで 、 ファイル名 ”librs.so.1” として設置

されており 、 別の改竄された libnspr4.so によりロードされます 。libnspr4.so は 、/home/bin/web プロ

セスが使用しており web プロセスがロードした accept, accept4 関数のアドレスが ProxDoor の関数のア

ドレスに書き換えられ 、accept 処理が ProxDoor にハイジャックされます 。

###### sccept

 accept4
 accept

 accept

 libnspr4.so librs.so.1

 libnspr4.so を

 ロードするプロセス


図34 . ProxDoor によりaccept 処理がハイジャックされる処理フロー


###### libspr4.so の _init_proc 関数の中には librs.so.1 をロードする処理が追加されていました 。


図35 . libnspr4.so に追加されたlibrs.so.1 (ProxDoor)をロードする処理


28 https://www.mandiant.jp/resources/blog/suspected-apt-targets-ivanti-zero-day


-----

###### ProxDoor は 、 受信したデータの先頭からオフセット 0x0F 以降から 4 バイト単位のデータで XOR を行

 い 、 その値がオフセット 0xB からの 4 バイトと一致するかをチェックします 。 一致した場合は命令コマン

 ドと判断し 、RC4 で復号します 。


unsigned __int32 __cdecl aa_decrypt_data(const void *buf)

{

int pos; // eax

int chk_val; // edx

_BYTE recv[118]; // [esp+Ah] [ebp-18Eh] BYREF

char sbox_[280]; // [esp+80h] [ebp-118h] BYREF

pos = 0;

chk_val = 0;

memset(sbox_, 0, 256u);

qmemcpy(recv, buf, sizeof(recv));

do

chk_val ^= *&recv[4 * pos++ + 0xF];

while ( pos != 6 );

if ( chk_val != *&recv[0xB] )

return -1;

make_sbox(sbox_, &recv[15], 24u);

aa_rc4_(sbox_, &recv[39], 4);

return _byteswap_ulong(*&recv[39]);

}


図36 . 受信データが命令コマンドであるかの判定処理


###### ProxDoor でサポートしている命令コマンドは 、2 つのみでシンプルな作りですが 、 受信データにはコマ

 ンド ID 以外に受信データを別 IP、 ポート番号への転送を行うフラグも含まれています 。 コマンド ID は 1 バ

 イトデータに対して上位 4bit、 下位 4bit から抽出します 。


図37 . コマンド ID 抽出処理


-----

表 3. ProxDoor サポートコマンド


-----

## 攻撃グループごとの TTPs ( 戦術、技術、手順 )

2023 年度に弊社で観測した攻撃グループごとの TTPs と標的組織を表で大まかに整理します 。MITRE 社

ATT&CK に攻撃フレームワークの攻撃番号を記載しますので 、 利用している製品での検出有無などをご確認く

ださい 。

※ この表は 、MITRE 社 ATT&CK 攻撃フレームワーク version 15 [30] に基づき作成しています 。

攻撃グループ 攻撃の T TPs 標的組織

Tropic Trooper **侵入経路：スピアフィッシングメール** 添付ファイル (Office マクロ、アイコン偽装の 国内製造関連企業

実行ファイル )、Wi-Fi アクセスポイントの悪用 ( 悪魔の双子攻撃 ) 中国拠点

**エクスプロイト：N/A**

**利用するツール・マルウェア：**

EntryShell RAT / Cobalt Strike Beacon / CrowDoor

**C2 通信の特徴：**

業務上あまり使われないポート番号宛の TCP 通信 (4431 8443 など )

**ATT&CK：**

[Initial Access]

Phishing: Spear phishing via Service (T1566.003)

[Execution]

Command and Scripting Interpreter: Visual Basic (T1059.005)

Process Injection: Asynchronous Procedure Call (T1055.004)

[Privilege Escalation]

Access Token Manipulation (T1134)

[Persistence]

Hijack Execution Flow: DLL Side-Loading (T1574.002)

[Command and Control]

Non-Standard Port (T1571)

Encrypted Channel: Symmetric Cryptography (1573.001)

Mustang Panda **侵入経路：スピアフィッシングメール** 添付ファイル (zip ファイルに EXE ファイルと

隠し DLL ファイル )、USB

**エクスプロイト：N/A**

**利用するツール・マルウェア：**

PUBLOAD Claimloader / PlugDisk

**C2 通信の特徴：**

RC4 暗号通信

**ATT&CK：**

[Initial Access] Phishing: Spearphishing Attachment (T1566.001)

[Initial Access] Replication Through Removable Media (T1091)

[Persistence] Boot or Logon Autostart Execution: Registry Run Keys /

Startup Folder (T1547.001)

[ D e f e n s e E v a s i o n ] H i j a c k E x e c u t i o n F l o w : D L L S i d e - L o a d i n g

(T1574002)

30 https://attack mitre org/versions/v15/


-----

-----

## TTPs より考察する脅威の検出と緩和策

マルウェアの配送 ・ 攻撃について

2023 年度は様々なベンダーの外部公開デバイスの脆弱性攻撃からの侵入が観測されています 。 これらにはゼ

ロデイ脆弱性攻撃も多くありますが 、 アプライアンス製品のため侵入を早期に検出するためのセキュリティ対策

ソフトウェアなどを導入する事ができません 。 標的型攻撃を行う攻撃グループによって 、 ベンダーが提供する外

部公開デバイス製品のゼロデイ脆弱性が発見 ・ 攻撃される事は今後も継続すると思われ 、 この前提での対策を検

討すべきかと思われます 。 外部公開デバイスのゼロデイ脆弱性の対策の 1 つとして 、 これらのアプライアンス製

品の前後にファイアウォールを設置して 、 攻撃を受けた後に発生する外向きのダウンロードなどの通信や内向き

の RDP SMB SSH などの通信をログのモニタリングから検出する事がセキュリティリサーチャーにより共有さ

れており [31]、 有効と思われます 。 また 、 外部公開デバイスのゼロデイ脆弱性攻撃がベンダーから報告があった際 、

海外拠点なども含めて External Attack Surface Management でデバイスの有無やパッチバージョンを把

握して早期の対処を検討頂くと良いかと思われます 。 その他に 、 物理的な侵入が増加している傾向があり 、USB

デバイスや Wi-Fi アクセスポイントの悪用からの物理的な侵入もある前提で 、 レガシーな対策ですが 、 デバイス

コントロールといった対策や Wi-Fi 製品の機能で不審なアクセスポイントが設置されていないかといった事を確

認するような対策もご検討ください 。 これら機器の出力するログもベンダーのベストプラクティスに従い 、 想定

される攻撃時のログを出力するように設定した上で 、 別の SIEM 装置やログ基盤に転送しておく事が望ましいと

思われます 。 攻撃者はこれら装置上のログを削除する事が多くあり 、 またログ基盤に転送して検出ルールと照合

する事で不正アクセスの検出を行い 、 事後にはフォレンジック調査に役立てる事ができます 。

インストールされる RAT、 遠隔操作 (C2 サーバについて )

LODEINFO、PUBLOAD、PlugX などいずれも DLL サイドローディングで 、暗号化されたペイロードをロー

ダ DLL が復号してメモリに展開して実行する手法が多く見られます 。 実行中のプロセスをスキャンしてメモリ上

の RAT の特徴的なコードをファストフォレンジックツールで検出する事や 、 通常とは異なるパスに正規実行ファ

イルが保存されて実行されるといった振る舞いを EDR 製品で検出することは現在ではそれほど難しくないと思

われます 。 一方 、Stowaway のような GitHub 上で公開されたツールや Visual Studio Code の Remote

機能の悪用など 、 遠隔操作が開始された後の遠隔コマンドなどを EDR で検出しないと検出が難しいと思われる

ようなケースも散見されます 。XDR と一括り対策の中でも基本的な EDR の対策を端末 ・ サーバに網羅的に展開

する事が重要です 。 また 、 正規の脆弱性のあるカーネルドライバを悪用して EDR 製品のモニタリングを無効に

するような Bring Your Own Vulnerable Driver（BYOVD） [32] 攻撃もしばしば聞かれるようになっていま

す 。 この攻撃の結果想定される挙動として 、 モニタリング対象の端末やサーバから EDR のログがあがっていな

いなどの兆候にご注意ください 。 また 、EDR 製品によってはこの攻撃自体を検出して検出アラートを上げるもの

もあります 。

31 https://twitter.com/58_158_177_102/status/1756154654256492884/


-----

## 検知のインディケータ

Tropic Trooper

インディケータ

98af7888655b8bcac49b76c074fc08877807ac074fb4e81a6cacfd1566d52f12

9dff4c8f403338875d009508c64a0e4d4a5eeac191d7654a7793c823fb8e3018

8937e8dd520dc6555c5b2cd62897b8eb5352e43a12af488bd8594449ed114fd5

blog[.]techmersion[.]com

APT10 (LODEINFO)

インディケータ

7a4fd1cc932b96175055b2940242877cab728a9d7c7ee371cad8438b4e88a812

632975a3642b0f2a6084880e59ffa19dfa8b08d13ac15b639e1e0ad3bdbf45bd

http[:]//185.126.236[.]166

http[:]//198.13.33[.]117

f21745cc6306461d1ddb3c35ed6016468ce984bbd64bfb86139a392e3a45c495

ecc746323a432bf483b6b1fff342ebe1834f8271d4cdf81b4f81d0a13e89436e

29bfd90bc23928e9180bd30223dd7f447af1f0f0121386c239f0c0e0c0bc0482

http[:]//167.179.77[.]72

http[:]//167.179.106[.]224

Mustang Panda


-----

Others


-----

マクニカは 、1972 年の設立以来 、 最先端の半導体 、 電子デバイス 、 ネットワーク 、 サイバー

セキュリティ商品に技術的付加価値を加えて提供してきました 。 従来からの強みであるグローバ

ルにおける最先端テクノロジーのソーシング力と技術企画力をベースに 、AI/IoT、 自動運転 、

ロボットなどの分野で新たなビジネスを展開しています 。 その中でセキュリティにおいては 、 最

先端のセキュリティ商材を提供する中で独自の研究機関を有し 、 日本の企業に着弾したサイバー

攻撃や対策をリサーチしています 。

・本資料に記載されている会社名、商品、サービス名等は各社の登録商標または商標です。なお、本資料中では、「™」、「®」は明記しておりません。 ・本資料は、出典元が記載されている

資料、画像等を除き、弊社が著作権を有しています。 ・著作権法上認められた「私的利用のための複製」や「引用」などの場合を除き、本資料の全部または一部について、無断で複製・転用

等することを禁じます。 ・本資料は作成日現在における情報を元に作成されておりますが、その正確性、完全性を保証するものではありません。


-----