IoC (TT Malware Log)

Malware の IoC(Indicator)情報

◆注意◆ マルウェア解析専析家向けサイト

     FQDN, URL,IPアドレス等はそのまま掲載しています


** Caution ** Malware expert site

                    FQDN, URL, IP address etc. are posted as they are

SymonLoader

Malware: SymonLoader 攻撃組織: Tick / Bronze Butler / NCPH / RedBaldKnight / The Bald Knight Rises

【インディケータ情報】

■ハッシュ情報(Sha256) - Malformed Legitimate software (SymonLoader) -

8549dcbdfc6885e0e7a1521da61352ef4f084d969dd30719166b47fdb204828a

(以上は paloalto の情報: 引用元は https://unit42.paloaltonetworks.com/unit42-tick-group-weaponized-secure-usb-drives-target-air-gapped-critical-systems/ )


■ハッシュ情報(Sha256) - Malformed Legitimate software (SymonLoader) -

31aea8630d5d2fcbb37a8e72fe4e096d0f2d8f05e03234645c69d7e8b59bb0e8

(以上は paloalto の情報: 引用元は https://unit42.paloaltonetworks.com/unit42-tick-group-weaponized-secure-usb-drives-target-air-gapped-critical-systems/ )


■ファイルパス

%ProgramFiles%\Windows NT\Accessories\Microsoft\msxml.exe
%UserProfile%\Applications\Microsoft\msxml.exe


■レジストリ

HKLM\Software\Microsof\Windows\CurrentVersion\run\”xml” = %ProgramFiles%\Windows NT\Accessories\Microsoft\msxml.exe
HKCU\Software\Microsof\Windows\CurrentVersion\run\”xml” = %UserProfile%\Applications\Microsoft\msxml.exe


■Mutex

SysMonitor_3A2DCB47


【検索】

google: 8549dcbdfc6885e0e7a1521da61352ef4f084d969dd30719166b47fdb204828a

google: 31aea8630d5d2fcbb37a8e72fe4e096d0f2d8f05e03234645c69d7e8b59bb0e8


【VT検索】

https://www.virustotal.com/gui/file/8549dcbdfc6885e0e7a1521da61352ef4f084d969dd30719166b47fdb204828a

https://www.virustotal.com/gui/file/31aea8630d5d2fcbb37a8e72fe4e096d0f2d8f05e03234645c69d7e8b59bb0e8




【ブログ】

◆Tick Group Weaponized Secure USB Drives to Target Air-Gapped Critical Systems (paloalto, 2018/06/22)
https://unit42.paloaltonetworks.com/unit42-tick-group-weaponized-secure-usb-drives-target-air-gapped-critical-systems/
https://malware-log.hatenablog.com/entry/2018/06/22/000000_4