【インディケータ情報】
■ハッシュ情報(Sha256) - Malformed Legitimate software (SymonLoader) -
8549dcbdfc6885e0e7a1521da61352ef4f084d969dd30719166b47fdb204828a
(以上は paloalto の情報: 引用元は https://unit42.paloaltonetworks.com/unit42-tick-group-weaponized-secure-usb-drives-target-air-gapped-critical-systems/ )
■ハッシュ情報(Sha256) - Malformed Legitimate software (SymonLoader) -
31aea8630d5d2fcbb37a8e72fe4e096d0f2d8f05e03234645c69d7e8b59bb0e8
(以上は paloalto の情報: 引用元は https://unit42.paloaltonetworks.com/unit42-tick-group-weaponized-secure-usb-drives-target-air-gapped-critical-systems/ )
■ファイルパス
%ProgramFiles%\Windows NT\Accessories\Microsoft\msxml.exe
%UserProfile%\Applications\Microsoft\msxml.exe
■レジストリ
HKLM\Software\Microsof\Windows\CurrentVersion\run\”xml” = %ProgramFiles%\Windows NT\Accessories\Microsoft\msxml.exe
HKCU\Software\Microsof\Windows\CurrentVersion\run\”xml” = %UserProfile%\Applications\Microsoft\msxml.exe
■Mutex
SysMonitor_3A2DCB47
【検索】
google: 8549dcbdfc6885e0e7a1521da61352ef4f084d969dd30719166b47fdb204828a
google: 31aea8630d5d2fcbb37a8e72fe4e096d0f2d8f05e03234645c69d7e8b59bb0e8
【VT検索】
https://www.virustotal.com/gui/file/8549dcbdfc6885e0e7a1521da61352ef4f084d969dd30719166b47fdb204828a
https://www.virustotal.com/gui/file/31aea8630d5d2fcbb37a8e72fe4e096d0f2d8f05e03234645c69d7e8b59bb0e8
【ブログ】
◆Tick Group Weaponized Secure USB Drives to Target Air-Gapped Critical Systems (paloalto, 2018/06/22)
https://unit42.paloaltonetworks.com/unit42-tick-group-weaponized-secure-usb-drives-target-air-gapped-critical-systems/
⇒ https://malware-log.hatenablog.com/entry/2018/06/22/000000_4