TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究・参照ログ

DragonOK (まとめ)

概要

【辞書】

◆DragonOK (ATT&CK)
https://attack.mitre.org/groups/G0017/

◆DragonOK (malpedia)
https://malpedia.caad.fkie.fraunhofer.de/actor/dragonok

◆APT group: DragonOK (ThaiCERT)
https://apt.thaicert.or.th/cgi-bin/showcard.cgi?g=DragonOK&n=1

◆DragonOK (Alienvault)
https://otx.alienvault.com/pulse/56139f084637f21ecf2a0e43/related


【概要】

項目 備考
連携チーム Moafee
活動時期 2015~


■使用マルウェア

マルウェア名 備考
PlugX
PoisonIvy
FormerFirstRAT
HTran
IsSpace
KHRAT
Mongall
CT
NewCT
NewCT2
NFlog
Rambo
SysGet
TidePool

記事

【ニュース】

◆The Path to Mass-Producing Cyber Attacks (FireEye, 2014/09/10)
https://www.fireeye.com/blog/threat-research/2014/09/the-path-to-mass-producing-cyber-attacks.html

◆進化を続ける中国拠点のサイバー攻撃、グループ間で連携、発覚後は迅速に対応 (クラウドwatch, 2014/09/19 16:10)
http://cloud.watch.impress.co.jp/docs/news/667631.html

◆日本を狙うサイバー攻撃で注意喚起、不審なメールや対策状況の確認を (ITmedia, 2014/09/19 13:53)
FireEyeが中国を発信源とする2種類の標的型サイバー攻撃に関する情報を公開した。2つの攻撃に数多くの共通性がみられるという
http://www.itmedia.co.jp/enterprise/articles/1409/19/news105.html

◆進化を続ける中国拠点のサイバー攻撃、グループ間で連携、発覚後は迅速に対応 (クラウドwatch, 2014/09/19 16:10)
http://cloud.watch.impress.co.jp/docs/news/20140919_667631.html

◆サイバー攻撃 中国政府関与の可能性 (TV Tokyo, 2014/09/19)
http://www.tv-tokyo.co.jp/mv/wbs/news/post_75236

◆日台企業、サイバー攻撃受ける (日経新聞, 2014/09/19 23:23)
http://www.nikkei.com/article/DGXLASDZ19HHA_Z10C14A9TJ2000/

◆FireEye uncovered two cyber espionage campaigns operating in parallel from China (Cybercrime Revealed, 2014/09/14)
http://cyberwarzone.com/fireeye-uncovered-two-cyber-espionage-campaigns-operating-parallel-china/

◆'Moafee' and 'DragonOK' APT groups leverage similar attack tools, techniques (SC Magazine, 2014/09/15)
http://www.scmagazine.com/moafee-and-dragonok-apt-groups-leverage-similar-attack-tools-techniques/article/371555/

◆ファイア・アイ、日本企業を狙う攻撃キャンペーンを説明 (ASCII.jp, 2014/09/22)
http://ascii.jp/elem/000/000/935/935777/

◆中国の異なるサイバー攻撃グループが連携、日本などアジアにサイバー攻撃(ファイア・アイ) (NetSecurity, 2014/09/22)
http://scan.netsecurity.ne.jp/article/2014/09/22/34864.htm

◆Unit 42 Identifies New DragonOK Backdoor Malware Deployed Against Japanese Targets (Paloalto, 2015/04/14)
http://researchcenter.paloaltonetworks.com/2015/04/unit-42-identifies-new-dragonok-backdoor-malware-deployed-against-japanese-targets/

◆UNIT 42、日本を対象に開発されたDRAGONOKバックドアマルウェアの新種を発見 (Paloalto, 2015/04/19)
https://www.paloaltonetworks.jp/company/in-the-news/2015/0420-DragonOK.html

◆「訃報」メールでマルウェア感染、日本企業を狙う新手の攻撃を確認 (ITmedia, 2015/04/20 16:55)

中国の攻撃者集団とみられる「DragonOK」が、製造やハイテク分野の企業を標的に新種のマルウェアを使った攻撃を仕掛けていたという

http://www.itmedia.co.jp/enterprise/articles/1504/20/news118.html
https://malware-log.hatenablog.com/entry/2015/04/20/000000_5

◆メールで届いた「訃報」が実際はマルウェア - 中国グループが新手口 (Security NEXT, 2015/04/20)
http://www.security-next.com/057813
https://malware-log.hatenablog.com/entry/2015/04/20/000000_1

◆日本企業の攻撃に特化した新たなツールも使用、製造・ハイテク企業を狙う標的型攻撃に注意 (Internet Watch, 2015/04/20 19:04)

パロアルトネットワークス合同会社は20日、日本の企業をターゲットにした新たなツールを利用した標的型攻撃を確認したとして、注意を促した

http://internet.watch.impress.co.jp/docs/news/698740.html
https://malware-log.hatenablog.com/entry/2015/04/20/000000_4

◆日本の製造・ハイテク産業を狙った標的型攻撃、Excel風のEXEファイルに注意 (マイナビニュース, 2015/04/21)
http://news.mynavi.jp/news/2015/04/21/071/
https://malware-log.hatenablog.com/entry/2015/04/21/000000_1

◆1~3月に日本企業を狙った標的型攻撃を確認--訃報メールにマルウェア仕込む (ZDNet, 2015/04/22 17:40)
http://japan.zdnet.com/article/35063494/
https://malware-log.hatenablog.com/entry/2015/04/22/000000_1

◆訃報を装ったメールに仕込まれた「DragonOK」- 巧妙な標的型攻撃を防ぐ術 (マイナビニュース, 2015/05/08 09:44)
https://news.mynavi.jp/article/20150508-paloalto_ibent-tokyo/
https://malware-log.hatenablog.com/entry/2015/05/08/000000_2

◆日本企業を狙った新しい脅威が登場 攻撃を失敗に追い込む手法で被害を避ける (ZDnet, 2015/05/11 11:00)
http://japan.zdnet.com/pickup/paloalto_201504/35063806/

◆高度化する標的型攻撃から大事なデータを守るために企業は今何をすべきか (EnterpriseZine, 2016/06/21)
https://enterprisezine.jp/article/detail/8184
https://malware-log.hatenablog.com/entry/2016/06/21/000000_9

◆日本を取り巻くサイバー攻撃者の動静--スパイやテロへの備え (ZDNET, 2017/09/19 05:00)
https://japan.zdnet.com/article/35107307/
https://malware-log.hatenablog.com/entry/2017/09/19/000000_8

◆PlugXと攻撃者グループ"DragonOK"の関連性 (LAC, 2017/12/18)
https://www.lac.co.jp/lacwatch/people/20171218_001445.html
https://malware-log.hatenablog.com/entry/2017/12/18/000000_2

【ブログ】

◆Unit 42 Identifies New DragonOK Backdoor Malware Deployed Against Japanese Targets (paloalto, 2015/04/14)
https://researchcenter.paloaltonetworks.com/2015/04/unit-42-identifies-new-dragonok-backdoor-malware-deployed-against-japanese-targets/
https://malware-log.hatenablog.com/entry/2015/04/14/000000_2

◆UNIT 42 IDENTIFIES NEW DRAGONOK BACKDOOR MALWARE DEPLOYED AGAINST JAPANESE TARGETS (@PHILIP.HUNG.CAO, 2015/04/15)
https://philipcao.com/2015/04/15/unit-42-identifies-new-dragonok-backdoor-malware-deployed-against-japanese-targets/
https://malware-log.hatenablog.com/entry/2015/04/15/000000_4

◆UNIT 42、日本を対象に開発されたDRAGONOKバックドアマルウェアの新種を発見 (Paloalto, 2015/04/19)
https://www.paloaltonetworks.jp/company/in-the-news/2015/0420-DragonOK.html
https://malware-log.hatenablog.com/entry/2015/04/19/000000

【公開情報】

◆An Insight into Symbiotic APT Groups (FireEye, 2014)
https://dl.mandiant.com/EE/library/MIRcon2014/MIRcon_2014_R&D_Track_Insight_into_Symbiotic_APT.pdf
https://malware-log.hatenablog.com/entry/2014/10/09/000000_2

◆パロアルトネットワークス、新しいマルウェアツールを利用した日本の製造・ハイテク業をターゲットとする標的型攻撃を確認 (Paloalto, 2015/04/14)
訃報などに模しマルウェアを侵入させる、中国の犯罪集団からとみられる攻撃
https://www.paloaltonetworks.jp/company/press/2015/2015-0420-DragonOK.html
https://malware-log.hatenablog.com/entry/2015/04/14/000000_3

【図表】

f:id:tanigawa:20160605090503j:plain
訃報の画像
出典: http://www.security-next.com/057813

f:id:tanigawa:20160605091332p:plain
Excelを使ったおとりファイル
出典: http://internet.watch.impress.co.jp/docs/news/698740.html

関連情報

【関連情報】

◆Moafee (まとめ)
https://malware-log.hatenablog.com/entry/Moafee

◆APT1 (まとめ)
https://malware-log.hatenablog.com/entry/APT1

【関連まとめ記事】

全体まとめ
 ◆攻撃組織 / Actor (まとめ)

◆標的型攻撃組織 / APT (まとめ)
https://malware-log.hatenablog.com/entry/APT


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2023