TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究・参照ログ

攻撃組織: APT17 / Hidden Lynx / Deputy Dog / Aurora Panda / Tailgater Team / (Axiom)

サイバー攻撃グループ(中国)

中国系の国家支援型ハッカー集団による日本の電機・防衛産業に対する活動について

【ニュース】 ◆中国系の国家支援型ハッカー集団による日本の電機・防衛産業に対する活動について (Cyfirma, 2020/01/23) https://www.cyfirma.jp/news/chinese_threat_actors_against_japanese_electronics_company/

サイバー攻撃4集団 標的の分野・時期は様々

【図表】 出典: https://www.asahi.com/articles/photo/AS20200121004397.html 【概要】■攻撃組織(Actor) 攻撃組織 別名 備考 Tick Bronze Butler APT17 Aurola Panda, Hidden Lynx Winnti グループと関係 BlackTech ■マルウェア マルウェア 別名 備考 Emdiv…

Nowhere to Hide: Intelligence Illuminating the Threat

【図表】 出典: https://www.fireeye.com/content/dam/fireeye-www/summit/cds-2019/presentations/keynote-cds19-sandra-joyce.pdf 【概要】■使用ツール Fin6 - RmaRat, Ammyy, Meterpreter Fin7 - Beacon, PowerSource, Ammyy Fin9 - NetWire Fin10 - Empi…

Some ASUS Updates Drop Backdoors on PCs in ‘Operation ShadowHammer’

【ニュース】 ◆Some ASUS Updates Drop Backdoors on PCs in ‘Operation ShadowHammer’ (Threat Post, 2019/03/25 12:40) https://threatpost.com/asus-pc-backdoors-shadowhammer/143129/ 【関連まとめ記事】◆全体まとめ ◆攻撃手法 (まとめ) ◆サプライチェ…

肉食動物の獲物探しに似た「水飲み場型」サイバー攻撃

【概要】 仕掛けられたサイト 2013/09 47行政ジャーナル 被害組織 2017/05 ウルフクリーク原発 【解説記事】 ◆肉食動物の獲物探しに似た「水飲み場型」サイバー攻撃 (毎日新聞, 2019/02/23) https://mainichi.jp/premier/business/articles/20190220/biz/00m…

Winnti Umbrella (まとめ)

概要 【辞典】 ◆Winnti Umbrella (Cyber Operation Tracker) https://www.cfr.org/interactive/cyber-operations/winnti-umbrella ◆Winnti Umbrella (Malpedia) https://malpedia.caad.fkie.fraunhofer.de/actor/winnti_umbrella 【概要】■Winnti Unbrellaの…

APT17 / Hiden Lynx (まとめ)

【目次】 概要 【概要】 記事 【ニュース】 【資料】 【関連情報】 関連情報 【関連まとめ記事】 概要 【概要】 ■組織 50 ~ 100人からなるプロ組織 ■別名 別名 ベンダー APT17 FireEye Hidden Lynx Deputy Dog Aurora Panda Tailgater (Team) (Axiom) 記事 …

Research claims CCLeaner attack carried out by Chinese-linked group

【ニュース】 ◆Research claims CCLeaner attack carried out by Chinese-linked group (CyberScoop, 2017/10/02) https://www.cyberscoop.com/ccleaner-attack-china-intezer-labs-piriform-apt17/ 【関連まとめ記事】 ◆Winnti (まとめ) http://malware-log…

中国サイバー攻撃の標的は米国から日本に変更--ファイア・アイが警告

中国に拠点があるという多数のサイバー攻撃グループが日本を標的にしている 出典: https://japan.zdnet.com/article/35104686/ 【ニュース】 ◆中国サイバー攻撃の標的は米国から日本に変更--ファイア・アイが警告 (ZDNet, 2017/09/25 07:00) https://japan.z…

日本を取り巻くサイバー攻撃者の動静--スパイやテロへの備え

【図表】 2017年5月~9月に日本でサイバー攻撃の標的にされた業種の内訳 出典: https://japan.zdnet.com/article/35107307/ 【概要】 APT10の目的 政府や大手企業が持つ先端技術など知的財産に関する情報の窃取 他の日本で活発に活動してる組織 APT 12 APT 1…

JTBの情報漏えいで使われたマルウェア「PlugX」とは何か?

PlugXの実行モジュール作成、操作ツール コマンドプロンプト画面 PlugXを使うAPTグループ(日本を攻撃しているグループ) 出典: https://news.mynavi.jp/itsearch/article/security/1559【ニュース】 ◆JTBの情報漏えいで使われたマルウェア「PlugX」とは何か? …

「PlugX」はどんなマルウェア? JTBを狙った標的型攻撃をファイア・アイが解説

【ニュース】 ◆「PlugX」はどんなマルウェア? JTBを狙った標的型攻撃をファイア・アイが解説 (マイナビニュース, 2016/06/17 16:32) https://news.mynavi.jp/article/20160617-plugx/ 【関連まとめ記事】 ◆APT10 / MenuPass (まとめ) http://malware-log.hat…

Why Technology Alone is not Enough

【公開情報】 ◆Why Technology Alone is not Enough (FireEye, 2015/11) https://www.avantec.ch/assets/uploads/PDF%20Documents/avantec-fireeye-webinar.pdf

標的型攻撃に使われるマルウエアを検知するVolatility Plugin

【ツール】 ◆標的型攻撃に使われるマルウエアを検知するVolatility Plugin (JPCERT/CC, 2015/10/28) https://www.jpcert.or.jp/magazine/acreport-aptscan.html 【参考情報】 ◆APT17: Hiding in Plain Sight - FireEye and Microsoft Expose Obfuscation Tac…

JPCERT/CC、「Emdivi」解析用スクリプトを無償公開 - 「APT 17」用ツールも

【ニュース】 ◆JPCERT/CC、「Emdivi」解析用スクリプトを無償公開 - 「APT 17」用ツールも (Security NEXT, 2015/10/28) http://www.security-next.com/063786 【参考情報】 ◆標的型攻撃に使われるマルウエアを検知するVolatility Plugin (JPCERT/CC, 2015/1…

Hidden Link Analysis Reveals 92% of Suspicious IPs Not Blacklisted

【ブログ】 ◆Hidden Link Analysis Reveals 92% of Suspicious IPs Not Blacklisted (Recorded Future) https://www.recordedfuture.com/two-shady-men-report/ 【公開情報】 ◆Report: Hidden Link Analysis Reveals 92% of Suspicious IPs Not Blacklisted …

TechNetを悪用するハッカー「APT17」の活動が活発化

【ニュース】 ◆TechNetを悪用するハッカー「APT17」の活動が活発化 (マイナビニュース, 2015/05/20) http://news.mynavi.jp/news/2015/05/20/208/ 【関連まとめ記事】◆全体まとめ ◆Operation / キャンペーン (まとめ) ◆Operation Deputy Dog (まとめ) https:…

Operation Deputy Dog (まとめ)

記事 【ニュース】 ◆Operation Ephemeral Hydra: IE Zero-Day Linked to DeputyDog Uses Diskless Method (FireEye, 2013/11/10) http://www.fireeye.com/blog/technical/cyber-exploits/2013/11/operation-ephemeral-hydra-ie-zero-day-linked-to-deputydog…

C&CのIP通知にMSの「TechNet」を悪用 - 「Deputy Dog」の攻撃グループ

【概要】 バックドアとしてBLACKCOFFEEの亜種を使用 IPアドレスの情報をエンコードしてフォーラムのプロフィールページに掲載 「@MICR0S0FT」と「C0RP0RATI0N」という2つのタグの間にあるエンコード済みIPアドレスの場所を検索 【ニュース】 ◆C&CのIP通知に…

APT17: Hiding in Plain Sight - FireEye and Microsoft Expose Obfuscation Tactic

【資料】 ◆APT17: Hiding in Plain Sight - FireEye and Microsoft Expose Obfuscation Tactic (FireEye, 2015/05/18) https://www2.fireeye.com/WEB-2015RPTAPT17.html 【関連まとめ記事】◆全体まとめ ◆攻撃組織 / Actor (まとめ) ◆標的型攻撃組織 / APT (…

Operation Aurora (まとめ)

【辞書】 ◆オーロラ作戦 (Wikipedia) https://ja.wikipedia.org/wiki/%E3%82%AA%E3%83%BC%E3%83%AD%E3%83%A9%E4%BD%9C%E6%88%A6 【概要】■マルウェアの作成者 中国政府とつながりのある、30代の中国人セキュリティーコンサルタント スパイウェアの基幹部分…

BlackCoffee

エンコード済みIPアドレスの例 出典: https://www.fireeye.jp/company/press-releases/2015/fireeye-and-microsoft-expose-chinese-apt-groups-obfuscation-tactic.html 【概要】■概要 APT17が使用するマルウェア(バックドア) ■使用グループ APT17, Hidden L…

APT17、マイクロソフトの「TechNet」をマルウェア拡散に悪用

【概要】■攻撃者 APT17, Hidden Lynx, Deputy Dog, Aurora Panda, Tailgater Team, Dogfish ■発生事象 2014年末に、Microsoft TechNetのフォーラムに、偽装されたマルウェア拡散用のC&Cコードが埋め込まれているのを発見 【ニュース】 ◆中国ハッカー集団、…

中国のサイバー犯罪集団、TechNetを踏み台に

【ニュース】 ◆中国のサイバー犯罪集団、TechNetを踏み台に (ITmedia, 2015/05/15 07:16) 中国のサイバー犯罪集団「APT17」はMicrosoftのTechNetにアカウントを作成して、フォーラムへの投稿にマルウェア制御用インフラのコードを仕込んでいた http://www.it…

中国のサイバー犯罪集団、TechNetを踏み台に

【ニュース】 ◆中国のサイバー犯罪集団、TechNetを踏み台に (ITmedia, 2015/05/15 07:16) 中国のサイバー犯罪集団「APT17」はMicrosoftのTechNetにアカウントを作成して、フォーラムへの投稿にマルウェア制御用インフラのコードを仕込んでいた http://www.it…

Backdoor.Win32.BlackCoffee.A

【マルウエアDB】 ◆Backdoor.Win32.BlackCoffee.A (TELUS) http://telussecuritylabs.com/threats/show/TSL20150514-13

Chinese Snoops Hid Malware Commands On Microsoft TechNet Site

【ニュース】 ◆Chinese Snoops Hid Malware Commands On Microsoft TechNet Site (Forbes, 2015/05/14) https://www.forbes.com/sites/thomasbrewster/2015/05/14/chinese-hackers-abuse-microsoft-site/#40b8f45c73f0

REGIONAL ADVANCED THREAT REPORT

【資料】 ◆REGIONAL ADVANCED THREAT REPORT:Europe, Middle East and Africa 1H2015 (FireEye, 2015) https://www.fireeye.com/content/dam/fireeye-www/partners/pdfs/rpt-regional-atr-emea-web-bt.pdf 【関連まとめ記事】◆全体まとめ ◆攻撃組織 / Actor …

シマンテック、一太郎の脆弱性を悪用した攻撃について解説

【概要】■関係が疑われる組織 LadyBoyle (LadyBoyle カテゴリーの記事一覧 - TT Malware Log) HiddenLynx (Hidden Lynx カテゴリーの記事一覧 - TT Malware Log) 【ニュース】 ◆シマンテック、一太郎の脆弱性を悪用した攻撃について解説 (マイナビニュース, …

CloudyOmega

【ブログ】 ◆CloudyOmega (HACKER MEDICINE, 2014/11/13) http://hackermedicine.com/tag/ladyboyle/


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2023