以下記事に掲載されている、過去の検体について調べた内容をまとめました。
4/26にポストした以下の一連の投稿とほぼ同じ内容になります。
https://x.com/tdatwja/status/1783859340405006651
参考:
「Unplugging PlugX: Sinkholing the PlugX USB worm botnet」
追加で調査した過去の検体は以下になります。
・AvastAuth.dat
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
MD5:ebb7749069a9b5bcda98d89f04d889db
File size:162.51 KB (166411 bytes)
First Submission:2020-12-08 02:57:16 UTC
関連:
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
・wsc.dll
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
MD5:722b15bbc15845e4e265a1519c800c34
File size:80.00 KB (81920 bytes)
First Submission:2020-10-12 09:41:40 UTC
関連:
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
・SmadHook32c.dll
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
MD5:fc55344597d540453326d94eb673e750
File size:76.00 KB (77824 bytes)
First Submission:2020-11-10 06:48:15 UTC
関連:
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
・smadavupdate.dat
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
MD5:504a73639a7868ed8576ea3cbafc0239
File size:194.02 KB (198674 bytes)
First Submission:2020-11-12 05:57:20 UTC
関連:MMCERT
※注意! 以下はPDFのダウンロードリンクになります。
https://www.mmcert.org.mm/en/file-download/download/public/374
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
・AvastAuth.dat
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
MD5:53a191d2be4e9f31457b6f0b34a256d2
File size:160.51 KB (164363 bytes)
関連:
・PlugX Encrypted Payloads: XOR Header(Unit 42)
・State of Kuwait Ministry of Interior?
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
・wsc.dll
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
MD5:2b8902afee7402f28cf297cd4c238ecb
File size:52.00 KB (53248 bytes)
First Submission:2020-12-17 05:24:57 UTC
関連:
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
・hex.dll
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
MD5:9d011c5386747b0dc0e7433e33cf733f
File size:20.00 KB (20480 bytes)
First Submission:2020-01-19 17:36:34 UTC
関連:
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
以上になります。
ありがとうございました。