BRONZE BUTLER

BRONZE BUTLERは、中国を起源とするサイバースパイグループです。少なくとも2008年から活動しています。このグループは、主に日本をターゲットとしており、特に、政府、バイオテクノロジー、電気機械メーカー、および工業化学に関する組織を対象としています。 [1] [2]

ID: G0060
Associated Groups: REDBALDKNIGHT, Tick
Version: 1.0
Created: 16 January 2018
Last Modified: 22 March 2019

Associated Group Descriptions

Name Description
REDBALDKNIGHT [1]
Tick [1] [3]

Techniques Used

Domain ID Name Use
Enterprise T1087 Account Discovery
アカウントの探索

BRONZE BUTLER は、アカウント情報を識別するためにnet user /domainを使用しています。[2]

Enterprise T1009 Binary Padding
バイナリパディング

BRONZE BUTLER のダウンローダーのコードには、ウイルス対策の検出を回避しようと、ファイルの最後にファイルサイズを大きくする「0」の文字が埋められていることがあります。[2]

Enterprise T1088 Bypass User Account Control
ユーザーアカウント制御のバイパス

BRONZE BUTLER の使用するマルウェアxxmmには、権限昇格のためのUACバイパスツールが含まれています。[2]

Enterprise T1059 Command-Line Interface
コマンドライン インターフェース

BRONZE BUTLER は、コマンドラインインターフェイスを使用します。[2]

Enterprise T1003 Credential Dumping
資格情報の取得

BRONZE BUTLER は、認証情報のダンプを取得するために、さまざまなツールを使用しています。[2]

Enterprise T1024 Custom Cryptographic Protocol
独自の暗号プロトコル

BRONZE BUTLER は、データをC2サーバーに送信するとき、RarStarと呼ばれるツールを使用して、カスタムXORアルゴリズムでデータをエンコードしています。[2]

Enterprise T1002 Data Compressed
データの圧縮

BRONZE BUTLER は、データを抜きとる前に、パスワードで保護されたRARアーカイブにデータを圧縮しています。[2]

Enterprise T1132 Data Encoding
データエンコーディング

BRONZE BUTLER が使用するいくつかのツールは、データをC2サーバーに送信するときにbase64でエンコードします。[2]

Enterprise T1022 Data Encrypted
暗号化

BRONZE BUTLERは、データを抜きとる前に、パスワードで保護されたRARアーカイブにデータを圧縮・暗号化したことがあります。[2]

Enterprise T1005 Data from Local System
ローカルシステムからのデータ

BRONZE BUTLER は、ローカルシステムから盗んだファイルを密かに抜き出しています。[2]

Enterprise T1039 Data from Network Shared Drive
ネットワーク共有ドライブからのデータ

BRONZE BUTLER は、ネットワーク共有ドライブから盗んだファイルを密かに抜き出しています。[2]

Enterprise T1140 Deobfuscate/Decode Files or Information
ファイルや情報の難読化解除/デコード

BRONZE BUTLER は、エンコードされたペイロードをダウンロードし、被害者の環境でデコードします。[2]

Enterprise T1189 Drive-by Compromise
Web閲覧による感染

BRONZE BUTLER は、水飲み場攻撃を実行するために、不正なFlashファイルで日本のWebサイトを3つ改ざんしました。[3]

Enterprise T1203 Exploitation for Client Execution
クライアント実行の悪用

BRONZE BUTLER は、Microsoft Wordの脆弱性CVE-2014-4114を悪用しています。[3]

Enterprise T1083 File and Directory Discovery
ファイルとディレクトリの探索

BRONZE BUTLER は、被害端末からファイルのリストを収集し、そのファイルをC2サーバーにアップロードした後、搾取対象ファイルの新しいリストを作成しています。[2]

Enterprise T1107 File Deletion
ファイル削除

BRONZE BUTLER が使用するアップローダーは、RARアーカイブを抜き出した後、削除のcommandを使用します。[2]

Enterprise T1036 Masquerading
変装

BRONZE BUTLER は、ユーザーが意図せずに追加のシステムにマルウェアを起動し、インストールすることをさせるため、ファイル共有サーバー上の既存のファイルと同じ名前をマルウェアに与えています。[2]

Enterprise T1097 Pass the Ticket

BRONZE BUTLER は、管理権限のアクセスを維持するために偽造したKerberos Ticket Granting Ticket(TGT)およびTicket Granting Service(TGS)チケットを作成しています。[2]

Enterprise T1086 PowerShell

BRONZE BUTLER は、実行にPowerShellを使用しています。[2]

Enterprise T1060 Registry Run Keys / Startup FolderレジストリRun Keys/スタートアップフォルダー

BRONZE BUTLER は、レジストリの実行キーを追加してマルウェアの永続性を確立するバッチスクリプトを使用しています。[2]

Enterprise T1105 Remote File Copy

BRONZE BUTLER は、DGet(wgetと同様のツール)など、さまざまなツールを使用してファイルをダウンロードしました。[2]

Enterprise T1018 Remote System Discovery
リモートシステムの探索

BRONZE BUTLER は、システムを列挙するために、 ping and Net を使います。[2]

Enterprise T1053 Scheduled Task
タスクスケジューリング

BRONZE BUTLER は、横展開中にマルウェアを実行するタスクスケジュールを登録するために、 atschtasks を使用しています。[2]

Enterprise T1113 Screen Capture

BRONZE BUTLER は、スクリーンショットをキャプチャするツールを使用しています。[2]

Enterprise T1064 Scripting

BRONZE BUTLER は、VBS、VBE、およびバッチスクリプトを使用しています。[2]

Enterprise T1193 Spearphishing Attachment
添付ファイル型スピアフィッシング

BRONZE BUTLER は、悪意のあるMicrosoft Wordファイルが添付されたスピアフィッシングメールを使用して、被害者を感染させました。.[3]

Enterprise T1071 Standard Application Layer Protocol
標準的なアプリケーションレイヤプロトコル

BRONZE BUTLER のマルウェアはC2にHTTPを使用しています。[2]

Enterprise T1032 Standard Cryptographic Protocol
標準的な暗号プロトコル

BRONZE BUTLER は、HTTPトラフィックを難読化するために、RC4暗号化(Datperマルウェア用)およびAES(xxmmマルウェア用)を使用しています。[2]

Enterprise T1124 System Time Discovery
システム時刻の探索

BRONZE BUTLER は、 net time を使用してターゲットシステムの時間を確認しています。[2]

Enterprise T1204 User Execution
ユーザーによる実行

BRONZE BUTLER は、スピアフィッシングメールを介して配信される悪意のあるMicrosoft Word添付ファイルをユーザーに起動させようとしました。[3]

Enterprise T1102 Web Service
ウェブサービス

BRONZE BUTLERのMSGETダウンローダーは、デッドドロップリゾルバーを使用して悪意のあるペイロードにアクセスします。[2]

Software

ID Name References Techniques
S0110 at [2] Scheduled Task
タスクスケジューリング
S0106 cmd [2] コマンドラインインターフェース、 ファイルとディレクトリの探索、 ファイル削除 リモートファイルコピー システム情報の探索
S0187 Daserf [1] [3] コード署名, コマンドラインインターフェース, 認証情報ダンピング, データ圧縮, データエンコーディング, データ暗号化, データ難読化, ツールのインジケータ削除, 入力キャプチャ, 変装, ファイルや情報の難読化, リモートファイルコピー, スクリーンキャプチャ, ソフトウェアパッキング, 標準アプリケーションレイヤプロトコル, 標準暗号化プロトコル
S0008 gsecdump [2] [3] Credential Dumping
資格情報の取得
S0002 Mimikatz [2] [3] アカウント操作 認証情報ダンピング, ファイル内の認証情報, DCShadow(ドメイン コントローラーのシャドウ), Pass the Hash(ハッシュの不正利用), Pass the Ticket(チケットの不正利用), 秘密鍵, 不正なSSPの追加, SID-History インジェクション
S0039 Net [2] アカウントの探索, アカウントの作成, ネットワーク共有接続の痕跡削除, ネットワーク共有の探索, パスワードポリシーの探索, 権限を持つグループの探索, リモートシステムの探索, サービスの実行, ネットワーク接続の探索, システムサービスの探索, システム時刻の探索, Windowsの管理共有
S0111 schtasks [2] Scheduled Task
タスクスケジューリング
S0005 Windows Credential Editor [2] [3] Credential Dumping
資格情報の取得

References