BRONZE BUTLERは、中国を起源とするサイバースパイグループです。少なくとも2008年から活動しています。このグループは、主に日本をターゲットとしており、特に、政府、バイオテクノロジー、電気機械メーカー、および工業化学に関する組織を対象としています。 [1] [2]
| Name | Description |
|---|---|
| REDBALDKNIGHT | [1] |
| Tick | [1] [3] |
| Domain | ID | Name | Use |
|---|---|---|---|
| Enterprise | T1087 |
Account Discovery アカウントの探索 |
BRONZE BUTLER は、アカウント情報を識別するために |
| Enterprise | T1009 |
Binary Padding バイナリパディング |
BRONZE BUTLER のダウンローダーのコードには、ウイルス対策の検出を回避しようと、ファイルの最後にファイルサイズを大きくする「0」の文字が埋められていることがあります。[2] |
| Enterprise | T1088 |
Bypass User Account Control ユーザーアカウント制御のバイパス |
BRONZE BUTLER の使用するマルウェアxxmmには、権限昇格のためのUACバイパスツールが含まれています。[2] |
| Enterprise | T1059 |
Command-Line Interface コマンドライン インターフェース |
BRONZE BUTLER は、コマンドラインインターフェイスを使用します。[2] |
| Enterprise | T1003 |
Credential Dumping 資格情報の取得 |
BRONZE BUTLER は、認証情報のダンプを取得するために、さまざまなツールを使用しています。[2] |
| Enterprise | T1024 |
Custom Cryptographic Protocol 独自の暗号プロトコル |
BRONZE BUTLER は、データをC2サーバーに送信するとき、RarStarと呼ばれるツールを使用して、カスタムXORアルゴリズムでデータをエンコードしています。[2] |
| Enterprise | T1002 |
Data Compressed データの圧縮 |
BRONZE BUTLER は、データを抜きとる前に、パスワードで保護されたRARアーカイブにデータを圧縮しています。[2] |
| Enterprise | T1132 |
Data Encoding データエンコーディング |
BRONZE BUTLER が使用するいくつかのツールは、データをC2サーバーに送信するときにbase64でエンコードします。[2] |
| Enterprise | T1022 |
Data Encrypted 暗号化 |
BRONZE BUTLERは、データを抜きとる前に、パスワードで保護されたRARアーカイブにデータを圧縮・暗号化したことがあります。[2] |
| Enterprise | T1005 |
Data from Local System ローカルシステムからのデータ |
BRONZE BUTLER は、ローカルシステムから盗んだファイルを密かに抜き出しています。[2] |
| Enterprise | T1039 |
Data from Network Shared Drive ネットワーク共有ドライブからのデータ |
BRONZE BUTLER は、ネットワーク共有ドライブから盗んだファイルを密かに抜き出しています。[2] |
| Enterprise | T1140 |
Deobfuscate/Decode Files or Information ファイルや情報の難読化解除/デコード |
BRONZE BUTLER は、エンコードされたペイロードをダウンロードし、被害者の環境でデコードします。[2] |
| Enterprise | T1189 |
Drive-by Compromise Web閲覧による感染 |
BRONZE BUTLER は、水飲み場攻撃を実行するために、不正なFlashファイルで日本のWebサイトを3つ改ざんしました。[3] |
| Enterprise | T1203 |
Exploitation for Client Execution クライアント実行の悪用 |
BRONZE BUTLER は、Microsoft Wordの脆弱性CVE-2014-4114を悪用しています。[3] |
| Enterprise | T1083 |
File and Directory Discovery ファイルとディレクトリの探索 |
BRONZE BUTLER は、被害端末からファイルのリストを収集し、そのファイルをC2サーバーにアップロードした後、搾取対象ファイルの新しいリストを作成しています。[2] |
| Enterprise | T1107 |
File Deletion ファイル削除 |
BRONZE BUTLER が使用するアップローダーは、RARアーカイブを抜き出した後、削除の |
| Enterprise | T1036 |
Masquerading 変装 |
BRONZE BUTLER は、ユーザーが意図せずに追加のシステムにマルウェアを起動し、インストールすることをさせるため、ファイル共有サーバー上の既存のファイルと同じ名前をマルウェアに与えています。[2] |
| Enterprise | T1097 | Pass the Ticket |
BRONZE BUTLER は、管理権限のアクセスを維持するために偽造したKerberos Ticket Granting Ticket(TGT)およびTicket Granting Service(TGS)チケットを作成しています。[2] |
| Enterprise | T1086 | PowerShell |
BRONZE BUTLER は、実行にPowerShellを使用しています。[2] |
| Enterprise | T1060 | Registry Run Keys / Startup FolderレジストリRun Keys/スタートアップフォルダー |
BRONZE BUTLER は、レジストリの実行キーを追加してマルウェアの永続性を確立するバッチスクリプトを使用しています。[2] |
| Enterprise | T1105 | Remote File Copy |
BRONZE BUTLER は、DGet(wgetと同様のツール)など、さまざまなツールを使用してファイルをダウンロードしました。[2] |
| Enterprise | T1018 |
Remote System Discovery リモートシステムの探索 |
BRONZE BUTLER は、システムを列挙するために、 |
| Enterprise | T1053 |
Scheduled Task タスクスケジューリング |
BRONZE BUTLER は、横展開中にマルウェアを実行するタスクスケジュールを登録するために、 at や schtasks を使用しています。[2] |
| Enterprise | T1113 | Screen Capture |
BRONZE BUTLER は、スクリーンショットをキャプチャするツールを使用しています。[2] |
| Enterprise | T1064 | Scripting |
BRONZE BUTLER は、VBS、VBE、およびバッチスクリプトを使用しています。[2] |
| Enterprise | T1193 |
Spearphishing Attachment 添付ファイル型スピアフィッシング |
BRONZE BUTLER は、悪意のあるMicrosoft Wordファイルが添付されたスピアフィッシングメールを使用して、被害者を感染させました。.[3] |
| Enterprise | T1071 |
Standard Application Layer Protocol 標準的なアプリケーションレイヤプロトコル |
BRONZE BUTLER のマルウェアはC2にHTTPを使用しています。[2] |
| Enterprise | T1032 |
Standard Cryptographic Protocol 標準的な暗号プロトコル |
BRONZE BUTLER は、HTTPトラフィックを難読化するために、RC4暗号化(Datperマルウェア用)およびAES(xxmmマルウェア用)を使用しています。[2] |
| Enterprise | T1124 |
System Time Discovery システム時刻の探索 |
BRONZE BUTLER は、 |
| Enterprise | T1204 |
User Execution ユーザーによる実行 |
BRONZE BUTLER は、スピアフィッシングメールを介して配信される悪意のあるMicrosoft Word添付ファイルをユーザーに起動させようとしました。[3] |
| Enterprise | T1102 |
Web Service ウェブサービス |
BRONZE BUTLERのMSGETダウンローダーは、デッドドロップリゾルバーを使用して悪意のあるペイロードにアクセスします。[2] |