TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究ログ

APT12 (まとめ)

【概要】

攻撃種別 標的型攻撃
組織名 APT12 / Numbered Panda / DNSCalc / IXESHE / BeeBus / Calc Team / DynCalc / Crimson Iron / JOY RAT/ Etumbot
キャンペーン名 IXESHE
使用脆弱性 CVE-2012-0158
攻撃方法 標的型攻撃メール(正規アカウントから)
標的業種 ジャーナリスト、官公庁、防衛関連組織
推定国 中国

■使用マルウェア

使用マルウェア 備考
RIPTIDE
HIGHTIDE
THREEBYTE
WATERSPOUT
Ixeshe


【辞書】

◆Group: APT12, IXESHE, ... (ATT&CK)
https://attack.mitre.org/wiki/Group/G0005

◆APT12 (FireEye)
https://www.fireeye.jp/current-threats/apt-groups.html#apt12

◆Numbered Panda (Wikipedia)
https://en.wikipedia.org/wiki/Numbered_Panda


【ニュース】

◆The Chinese hacker group that hit the N.Y. Times is back with updated tools (COMPUTERWORLD, 2013/08/12)
The APT 12 hacker group has updated its malware programs to evade network-level detection, researchers from FireEye said
https://www.computerworld.com/article/2483567/cybercrime-hacking/the-chinese-hacker-group-that-hit-the-n-y--times-is-back-with-updated-tools.html
http://malware-log.hatenablog.com/entry/2013/08/12/000000

◆Analysis of DHS NCCIC Indicators (SecureWorks, 2014/02/14)
https://www.secureworks.com/research/analysis-of-dhs-nccic-indicators
http://malware-log.hatenablog.com/entry/2014/02/14/000000_1

◆Analysis of the Etumbot APT Backdoor Released (Tripwire, 2014/06/11)
https://www.tripwire.com/state-of-security/latest-security-news/analysis-of-the-etumbot-apt-backdoor-released/
http://malware-log.hatenablog.com/entry/2014/06/11/000000_1

◆進化を続ける中国拠点のサイバー攻撃、グループ間で連携、発覚後は迅速に対応 (クラウドwatch, 2014/09/19 16:10)
http://cloud.watch.impress.co.jp/docs/news/667631.html
http://malware-log.hatenablog.com/entry/2014/09/19/000000_4

◆ファイア・アイ、日本企業を狙う攻撃キャンペーンを説明 (ASCII.jp, 2014/09/22)
http://ascii.jp/elem/000/000/935/935777/
http://malware-log.hatenablog.com/entry/2014-09-22/000000

◆中国の異なるサイバー攻撃グループが連携、日本などアジアにサイバー攻撃(ファイア・アイ) (NetSecurity, 2014/09/22)
http://scan.netsecurity.ne.jp/article/2014/09/22/34864.htm
http://malware-log.hatenablog.com/entry/2014-09-22/000000

◆日本を取り巻くサイバー攻撃者の動静--スパイやテロへの備え (ZDNET, 2017/09/19 05:00)
https://japan.zdnet.com/article/35107307/
http://malware-log.hatenablog.com/entry/2017/09/19/000000_8

◆中国サイバー攻撃の標的は米国から日本に変更--ファイア・アイが警告 (ZDNet, 2017/09/25 07:00)
https://japan.zdnet.com/article/35104686/
http://malware-log.hatenablog.com/entry/2017/09/25/000000_6


【ブログ】

◆Taking a Bite Out of IXESHE (Trendmicro, 2012/05/29)
http://blog.trendmicro.com/trendlabs-security-intelligence/taking-a-bite-out-of-ixeshe/
http://malware-log.hatenablog.com/entry/2012/05/29/000000_2

◆持続的標的型攻撃「IXESHE」の全貌 – リサーチペーパー公開 (Trendmicro, 2012/05/30)
http://blog.trendmicro.co.jp/archives/5293
http://malware-log.hatenablog.com/entry/2012/05/30/000000_1

◆Whois Numbered Panda (Croudskrike, 2013/03/29)
https://www.crowdstrike.com/blog/whois-numbered-panda/
http://malware-log.hatenablog.com/entry/2013/03/29/000000_1

◆Darwin’s Favorite APT Group (FireEye, 2014/09/03)
https://www.fireeye.com/blog/threat-research/2014/09/darwins-favorite-apt-group-2.html
http://malware-log.hatenablog.com/entry/2014/09/03/000000_1

◆米国ユーザを狙う「IHEATE」、標的型サイバー攻撃キャンペーン「IXESHE」に関連 (Trendmicro, 2016/06/13)
http://blog.trendmicro.co.jp/archives/13447
http://malware-log.hatenablog.com/entry/2016/06/13/000000


【公開情報】

◆The Italian Connection: An analysis of exploit supply chains and digital quartermasters (ShadowServer)
http://www.securebinary.co.za/mabiribobi/uploads/2015/08/The-Italian-Connection-An-analysis-of-exploit-supply-chains-and-digital-quartermasters.pdf
http://malware-log.hatenablog.com/entry/2015/07/05/000000_1


【IoC情報】

◆APT12の攻撃に使用されたマルウェアのIOC (FireEye, 2014/10/28)
https://github.com/fireeye/iocs/blob/master/APT12/2384c8ce-6eca-4d06-8aa4-151b53d9a6bc.ioc


【資料】

◆『持続的標的型攻撃キャンペーン「IXESHE」の全貌』(Trendmicro, 2012/05/30)
https://inet.trendmicro.co.jp/doc_dl/select.asp?type=1&cid=81
http://malware-log.hatenablog.com/entry/2012/05/30/000000_1

◆ASERT Threat Intelligence Brief 2014-07 (Arbor, 2014/06)
https://www.arbornetworks.com/blog/asert/wp-content/uploads/2014/06/ASERT-Threat-Intelligence-Brief-2014-07-Illuminating-Etumbot-APT.pdf
http://malware-log.hatenablog.com/entry/2014/06/01/000000_2

◆APTマルウェアに⾒る不易流⾏ (Macnica Networks, 2018/01/25)
https://www.jpcert.or.jp/present/2018/JSAC2018_09_yanagishita-takeuchi.pdf
http://malware-log.hatenablog.com/entry/2018/01/25/000000_7

【インディケータ情報】

■ハッシュ情報(MD5)

  • 73f493f6a2b0da23a79b50765c164e88
  • eaa6e03d9dae356481215e3a9d2914dc
  • 06da4eb2ab6412c0dc7f295920eb61c4
  • 53baedf3765e27fb465057c48387c9b6
  • e009b95ff7b69cbbebc538b2c5728b11
  • 16e627dbe730488b1c3d448bfc9096e2
  • 499bec15ac83f2c8998f03917b63652e
  • f9cfda6062a8ac9e332186a7ec0e706a
  • 4ab6bf7e6796bb930be2dd0141128d06
  • f6fafb7c30b1114befc93f39d0698560
  • 00a95fb30be2d6271c491545f6c6a707
  • dcfaa2650d29ec1bd88e262d11d3236f


【マルウェア情報】

■APT12

MD5: f6fafb7c30b1114befc93f39d0698560
SHA1: 7430743f4e6b48a334d9c8ba541cece48d44fc9c
SHA256: 7144eaf8bbec1629b600087956b0943dde7d49a5b265865b16164d06d57a9155
SHA512:
SSDEEP: 3072:EslNBID25TykosDD90kz//uRi/pp17nLn4/bxq:EUNr3zXuqp9Ox
authentihash:
imphash:
File Size: 168378 bytes
File Type: MS Word Document
作成日時: 2012/11/23 05:35:00
File Name: 0824.1.doc
File Path:
利用脆弱性: CVE2012-0158
https://www.virustotal.com/ja/file/7144eaf8bbec1629b600087956b0943dde7d49a5b265865b16164d06d57a9155/analysis/
https://totalhash.cymru.com/analysis/?7430743f4e6b48a334d9c8ba541cece48d44fc9c
https://cryptam.com/docsearch.php?sha256=7144eaf8bbec1629b600087956b0943dde7d49a5b265865b16164d06d57a9155
http://securitybloggersnetwork.com/author/ned-moran/


■APT12

MD5: 6e59861931fa2796ee107dc27bfdd480
SHA1: 9a8b19a954bc4e3bbea569651c4ff14d7c973692
SHA256: 3cd6ad651257f66e9a68d9c89f14666941886e4251983fe7f9bff898b435827e
SHA512:
SSDEEP: 1536:g1Tn3aHGcQJW0jFyiLdalkBEVGF8k3xL83vX4:42AjFyi5aS19J8fX
authentihash: 9c131d2dd3054c9be76acb3ff5c3310515e9afb8b635b06fe77fea6c2dd2155c
imphash: ead55ef2b18a80c00786c25211981570
File Size: 75264 bytes
File Type: PE32 executable for MS Windows (GUI) Intel 80386 32-bit
コンパイル日時: 2014/08/23 08:22:49
File Name:
File Path:
通信先:

参考資料:


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2019