TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する個人の調査・研究ログ

APT17 / Hidden Lynx / Deputy Dog / Aurora Panda / Axiom / Tailgater Team / Dogfish

中国サイバー攻撃の標的は米国から日本に変更--ファイア・アイが警告

中国に拠点があるという多数のサイバー攻撃グループが日本を標的にしている 出典: https://japan.zdnet.com/article/35104686/ 【ニュース】 ◆中国サイバー攻撃の標的は米国から日本に変更--ファイア・アイが警告 (ZDNet, 2017/09/25 07:00) https://japan.z…

日本を取り巻くサイバー攻撃者の動静--スパイやテロへの備え

2017年5月~9月に日本でサイバー攻撃の標的にされた業種の内訳 出典: https://japan.zdnet.com/article/35107307/ 【概要】 APT10の目的 政府や大手企業が持つ先端技術など知的財産に関する情報の窃取 他の日本で活発に活動してる組織 APT 12 APT 17 DragonO…

JTBの情報漏えいで使われたマルウェア「PlugX」とは何か?

PlugXの実行モジュール作成、操作ツール コマンドプロンプト画面 PlugXを使うAPTグループ(日本を攻撃しているグループ) 出典: https://news.mynavi.jp/itsearch/article/security/1559【ニュース】 ◆JTBの情報漏えいで使われたマルウェア「PlugX」とは何か? …

Why Technology Alone is not Enough

【公開情報】 ◆Why Technology Alone is not Enough (FireEye, 2015/11) https://www.avantec.ch/assets/uploads/PDF%20Documents/avantec-fireeye-webinar.pdf

標的型攻撃に使われるマルウエアを検知するVolatility Plugin

【ツール】 ◆標的型攻撃に使われるマルウエアを検知するVolatility Plugin (JPCERT/CC, 2015/10/28) https://www.jpcert.or.jp/magazine/acreport-aptscan.html 【参考情報】 ◆APT17: Hiding in Plain Sight - FireEye and Microsoft Expose Obfuscation Tac…

JPCERT/CC、「Emdivi」解析用スクリプトを無償公開 - 「APT 17」用ツールも

【ニュース】 ◆JPCERT/CC、「Emdivi」解析用スクリプトを無償公開 - 「APT 17」用ツールも (Security NEXT, 2015/10/28) http://www.security-next.com/063786 【参考情報】 ◆標的型攻撃に使われるマルウエアを検知するVolatility Plugin (JPCERT/CC, 2015/1…

Hidden Link Analysis Reveals 92% of Suspicious IPs Not Blacklisted

【ブログ】 ◆Hidden Link Analysis Reveals 92% of Suspicious IPs Not Blacklisted (Recorded Future) https://www.recordedfuture.com/two-shady-men-report/ 【公開情報】 ◆Report: Hidden Link Analysis Reveals 92% of Suspicious IPs Not Blacklisted …

C&CのIP通知にMSの「TechNet」を悪用 - 「Deputy Dog」の攻撃グループ

バックドアとしてBLACKCOFFEEの亜種を使用 IPアドレスの情報をエンコードしてフォーラムのプロフィールページに掲載 「@MICR0S0FT」と「C0RP0RATI0N」という2つのタグの間にあるエンコード済みIPアドレスの場所を検索 【ニュース】 ◆C&CのIP通知にMSの「Tec…

BlackCoffee

エンコード済みIPアドレスの例 出典: https://www.fireeye.jp/company/press-releases/2015/fireeye-and-microsoft-expose-chinese-apt-groups-obfuscation-tactic.html 【概要】■概要 APT17が使用するマルウェア(バックドア) ■使用グループ APT17, Hidden L…

APT17、マイクロソフトの「TechNet」をマルウェア拡散に悪用

【概要】■攻撃者 APT17, Hidden Lynx, Deputy Dog, Aurora Panda, Axiom, Tailgater Team, Dogfish ■発生事象 2014年末に、Microsoft TechNetのフォーラムに、偽装されたマルウェア拡散用のC&Cコードが埋め込まれているのを発見 【ニュース】 ◆中国ハッカー…

中国のサイバー犯罪集団、TechNetを踏み台に

【ニュース】 ◆中国のサイバー犯罪集団、TechNetを踏み台に (ITmedia, 2015/05/15 07:16) 中国のサイバー犯罪集団「APT17」はMicrosoftのTechNetにアカウントを作成して、フォーラムへの投稿にマルウェア制御用インフラのコードを仕込んでいた http://www.it…

Backdoor.Win32.BlackCoffee.A

【マルウエアDB】 ◆Backdoor.Win32.BlackCoffee.A (TELUS) http://telussecuritylabs.com/threats/show/TSL20150514-13

Chinese Snoops Hid Malware Commands On Microsoft TechNet Site

【ニュース】 ◆Chinese Snoops Hid Malware Commands On Microsoft TechNet Site (Forbes, 2015/05/14) https://www.forbes.com/sites/thomasbrewster/2015/05/14/chinese-hackers-abuse-microsoft-site/#40b8f45c73f0

REGIONAL ADVANCED THREAT REPORT

【公開情報】 ◆REGIONAL ADVANCED THREAT REPORT:Europe, Middle East and Africa 1H2015 (FireEye, 2015) https://www.fireeye.com/content/dam/fireeye-www/partners/pdfs/rpt-regional-atr-emea-web-bt.pdf

シマンテック、一太郎の脆弱性を悪用した攻撃について解説

【概要】■関係が疑われる組織 LadyBoyle (LadyBoyle カテゴリーの記事一覧 - TT Malware Log) HiddenLynx (Hidden Lynx カテゴリーの記事一覧 - TT Malware Log) 【ニュース】 ◆シマンテック、一太郎の脆弱性を悪用した攻撃について解説 (マイナビニュース, …

CloudyOmega ??: ??????????????????????????????????

【ブログ】 ◆CloudyOmega ??: ?????????????????????????????????? (HACKER MEDICINE, 2014/11/13) http://hackermedicine.com/tag/ladyboyle/

セキュリティベンダー11社が共同作戦、標的型攻撃の封じ込め目指す

【ニュース】 ◆セキュリティベンダー11社が共同作戦、標的型攻撃の封じ込め目指す (Security NEXT, 2014/10/24) http://www.security-next.com/052935 【関連情報】 ◆セキュリティベンダーが共同作戦 - Hidden Lynx等のマルウェアに打撃 (TT malware Log, 20…

セキュリティベンダーが共同作戦 - Hidden Lynx等のマルウェアに打撃

Hikitの感染件数の地域別内訳 出典: http://news.mynavi.jp/news/2014/10/20/065/ 【ニュース】 ◆セキュリティベンダーが共同作戦 - Hidden Lynx等のマルウェアに打撃 (マイナビニュース, 2014/10/20) http://news.mynavi.jp/news/2014/10/20/065/ 【関連情…

セキュリティベンダーの共同作戦で Hidden Lynx のマルウェアに打撃

【ブログ】 ◆セキュリティベンダーの共同作戦で Hidden Lynx のマルウェアに打撃 (Symantec, 2014/10/17 05:52 GMT) http://www.symantec.com/connect/ja/blogs/hidden-lynx-2

Hunting Hidden Lynx: How OSINT is Crucial for APT Analysis

【ブログ】 ◆Hunting Hidden Lynx: How OSINT is Crucial for APT Analysis (Recorded Future, 2014/10/10) https://www.recordedfuture.com/hidden-lynx-analysis/

APT1より危険な攻撃グループ ~ Aurora Panda/APT17が残した痕跡 ~

【公開情報】 ◆APT1より危険な攻撃グループ ~ Aurora Panda/APT17が残した痕跡 ~ (マクニカネットワークス, 2014/07/08) http://www.macnica.net/mnd/mnd2014/C-3.html/

攻撃者を知るためのインテリジェンスの活用

【概要】 【攻撃者】 Aurora Panda Dagger Panda(2011/03~, IceFog) 【資料】 ◆攻撃者を知るためのインテリジェンスの活用 (デジタル・フォレンジック研究会, 2014/06/03) http://digitalforensic.jp/wp-content/uploads/2014/06/034ffca2b35b7d4a270ddb991…

APT1より危険な攻撃者グループ

【ブログ】 ◆APT1より危険な攻撃者グループ (マクニカ, 2014/05/28) http://blog.macnica.net/blog/2014/05/28/?ref=calendar

Windows 7とIE10を標的にしたゼロデイ攻撃の続報 - シマンテック

出典: http://news.mynavi.jp/news/2014/02/18/466/ 【ニュース】 ◆Windows 7とIE10を標的にしたゼロデイ攻撃の続報 - シマンテック (マイナビニュース, 2014/02/18) http://news.mynavi.jp/news/2014/02/18/466/

Windows 7とIE10を標的にしたゼロデイ攻撃発生の可能性あり - シマンテック

【ニュース】 ◆Windows 7とIE10を標的にしたゼロデイ攻撃発生の可能性あり - シマンテック (マイナビニュース, 2014/02/17) http://news.mynavi.jp/news/2014/02/17/068/

The Monju Incident

【資料】 ◆The Monju Incident (Context Threat Intelligence, 2014/01/27) http://www.contextis.com/documents/30/TA10009_20140127_-_CTI_Threat_Advisory_-_The_Monju_Incident1.pdf

中国拠点で暗躍 雇われ有能ハッカー組織の実態

【ニュース】 ◆中国拠点で暗躍 雇われ有能ハッカー組織の実態 日本での被害も (東京IT新聞, 2013/12/07 07:00) http://itnp.net/story/489

IEのゼロデイ脆弱性を悪用する新エクスプロイト、DeputyDogとの関連も(ファイア・アイ)

【概要】■Trojan.APT.9002の亜種の特徴 111.68.9.93(C&Cサーバ)に443番ポートで接続 非HTTPプロトコルとHTTP POSTを使用して通信 非HTTPプロトコルとHTTP POSTを使用して通信 ペイロードはメモリで動作 (ディスクに書き込まない) ペイロードには「rat_UnInst…

IEに新たな脆弱性、標的型攻撃が発生(3) -- Hidden Lynx との関連性 --

【概要】 使用脆弱性: CVE-2013-3918 C&Cサーバ: 111.68.9.93 【ニュース】 ◆IEの脆弱性を突く新たなマルウェアは「リブートすると消える」 (Slashdot, 2013/11/13 12:40) http://security.slashdot.jp/story/13/11/13/0342225/ 【ブログ】 ◆Hidden Lynx と…

IEに新たな脆弱性、標的型攻撃が発生(1) -- Operation Ephemeral Hydra --

【ニュース】 ◆Operation Ephemeral Hydra: IE Zero-Day Linked to DeputyDog Uses Diskless Method (FireEye, 2013/11/10) http://www.fireeye.com/blog/technical/cyber-exploits/2013/11/operation-ephemeral-hydra-ie-zero-day-linked-to-deputydog-uses…


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2017