Dalbit、m00nlight: 中国ハッカーグループの APT 攻撃キャンペーン
0. 概要 この内容は2022年8月31日に掲載した「韓国国内の企業をターゲットにした FRP(Fast Reverse Proxy)を使用する攻撃グループ」ブログの延長線上に位置し、このグループの行動を追跡した内容になっている。 https://asec.ahnlab.com/jp/38120/ このグループは以前から今まで、オープンソースツールを主に使用しており、PDB などの情報がないため、プロファイリングの明確な特報が不足している状態であった。また、C2(Command&Control)サーバーの韓国国内企業サーバーを悪用し、被害を受けた企業が調査を別途で要請しないと収集できる情報が限定的である。しかし、ブログが公開されて攻撃者が使用していた韓国国内のサーバーが一部遮断されると、攻撃者は「*.m00nlight.top」という名前のホストサーバーを C2 およびダウンロードサーバーに使用し始めた。そのため、ASEC ではこのグループを「Moonlight」の韓国語訳を変形させて … Continue reading Dalbit、m00nlight: 中国ハッカーグループの APT 攻撃キャンペーン
