「ブログやコードレポジトリサービスに、暗号化したC2サーバのIPアドレスを掲載し、マルウェアがその情報を読み取ってC2サーバへ接続する手口は、デッド・ドロップ・リゾルバー(Dead Drop Resolver)として知られています」らしい。

「公式Twitterアカウントが誤って偽サイトへのリンクをツイートしてしまうトラブルが相次いだ」らしい。技術レベルは低いは、責任者は逃げるわ、ひでー会社だ。

ESETの検知推移。

2ndの解析結果。ちゃんとドメイン名が実名で掲載されている。で、シスコもあり。笑。日本ではソニーがリストアップ。で、コードがMissl backdoor - APT17/Group 72と一致しているらしい。あーねと思っちゃう俺が悲しい。

2nd stage payloadの話。Avastは当初、危険は無しと言って行けたけど、経験不足が裏目に出た感じ。Talosの報告通り8社２０ドメインがターゲットだった模様。

「The server was provisioned earlier in 2017 and the SSL certificate for the respective https communication had a timestamp of July 3, 2017」らしい。7月3日に侵入されたよう。

「SMBv3においてDFSリダイレクト経由のアクセスにおいて暗号化が継続せず、マンインザミドル攻撃を受けるおそれがある」らしい。

「そのうちの「ARKit」「Core ML」について、実際にアプリを作りながら紹介」らしい。うーむ。

「１９日に撮影した人工衛星画像などの分析では、蛇行が７日に比べわずかに縮小していることが判明」らしい。