TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究・参照ログ

攻撃組織: UNC2452 / SolarStorm / Dark Halo / StellarParticle / Nobelium

インシデント: SolarWinds (まとめ)

【目次】 概要 【概要】 記事 【ニュース】 【ブログ】 関連情報 【関連まとめ記事】 概要 【概要】 日時 内容 2019年9月 最初の不正アクセス 2019年10月 実験的な攻撃コードが仕込まれる 2020年2月 フル機能を装備したマルウェア「Sunburst」が導入 2020年3…

GoldMax, GoldFinder, and Sibot: Analyzing NOBELIUM’s layered persistence

【ブログ】 ◆GoldMax, GoldFinder, and Sibot: Analyzing NOBELIUM’s layered persistence (Microsoft, 2021/03/04) [GoldMax、GoldFinder、Sibot。NOBELIUMのレイヤードパーシステンスの分析] https://www.microsoft.com/security/blog/2021/03/04/goldmax-…

TearDrop (まとめ)

【ニュース】 ◆FireEye、SolarWindsインシデントの詳細を公開--対策ツールも提供 (ZDNet, 2021/01/20 12:52) https://japan.zdnet.com/article/35165296/ ⇒ https://malware-log.hatenablog.com/entry/2021/01/20/000000_2 ◆1年以上も検出できなかった「史上…

UNC2452 (まとめ)

【別名】 名称 名称使用組織 UNC2452 FireEye SolarStorm Paloalto Dark Halo Volexity StellarParticle CrowdStrike Nobelium Microsoft UCN2452 (マスメディアの誤記) 【ニュース】 ◆世界中の政府機関や企業の機密情報を傍受したハッカーグループ「UCN2452…

Windowsのソースコードを盗み出したハッカー集団の手口と無料対策ツールが公開される

【ニュース】 ◆Windowsのソースコードを盗み出したハッカー集団の手口と無料対策ツールが公開される (Gigazine, 2021/01/20 11:54 ) https://gigazine.net/news/20210120-ucn2452-solarwinds-technique/ 【関連まとめ記事】◆全体まとめ ◆攻撃組織 / Actor (…

Malwarebytes、SolarWindsを攻撃したハッカーらによる攻撃を確認

【ニュース】 ◆Malwarebytes、SolarWindsを攻撃したハッカーらによる攻撃を確認 (ZDNet, 2021/01/20 13:16) https://japan.zdnet.com/article/35165295/ 【関連まとめ記事】◆全体まとめ ◆攻撃組織 / Actor (まとめ) ◆標的型攻撃組織 / APT (まとめ) ◆UNC2452…

FireEye、SolarWindsインシデントの詳細を公開--対策ツールも提供

【ニュース】 ◆FireEye、SolarWindsインシデントの詳細を公開--対策ツールも提供 (ZDNet, 2021/01/20 12:52) https://japan.zdnet.com/article/35165296/ 【関連まとめ記事】◆全体まとめ ◆攻撃組織 / Actor (まとめ) ◆標的型攻撃組織 / APT (まとめ) ◆UNC245…

Remediation and Hardening Strategies for Microsoft 365 to Defend Against UNC2452

【概要】■UNC2452の攻撃の特徴1. Active Directory フェデレーションサービス(ADFS)のトークン署 名証明書を盗み、それを使用して任意のユーザーのトークンを偽造す る(Golden SAML)。2. Azure AD で信頼できるドメインを変更または追加して、攻撃者が制…

Mandiant-Azure-AD-Investigator

【ツール】 ◆Mandiant-Azure-AD-Investigator (FireEye, 2021/01/19) https://github.com/fireeye/Mandiant-Azure-AD-Investigator 【関連まとめ記事】◆全体まとめ ◆攻撃組織 / Actor (まとめ) ◆標的型攻撃組織 / APT (まとめ) ◆UNC2452 (まとめ) https://ma…

SolarWindsのビルド中にSunburstを混入させた手口の詳細が明らかに

【ニュース】 ◆SolarWindsのビルド中にSunburstを混入させた手口の詳細が明らかに (ITmedia, 2021/01/13 19:19) https://www.itmedia.co.jp/enterprise/articles/2101/13/news167.html 【関連まとめ記事】◆全体まとめ ◆アプリ (まとめ) ◆SolarWinds (まとめ)…

Golden SAML Revisited: The Solorigate Connection

【ブログ】 ◆Golden SAML Revisited: The Solorigate Connection (CyberArk, 2020/12/29) [Golden SAMLの再訪: Solorigateとの接続] https://www.cyberark.com/resources/threat-research-blog/golden-saml-revisited-the-solorigate-connection 【関連情報…

米政府機関へのサイバー攻撃、「50の組織に実際の影響」か

【ニュース】 ◆米政府機関へのサイバー攻撃、「50の組織に実際の影響」か (BBC, 2020/12/21) https://www.bbc.com/japanese/55391365

脅威に関する情報: SolarStormとSUNBURSTからのお客様保護について

【ブログ】 ◆脅威に関する情報: SolarStormとSUNBURSTからのお客様保護について (Paloalto, 2020/12/15 12:10) https://unit42.paloaltonetworks.jp/fireeye-solarstorm-sunburst/ 【関連まとめ記事】◆全体まとめ ◆アプリ (まとめ) ◆SolarWinds (まとめ) htt…

世界中の政府機関や企業の機密情報を傍受したハッカーグループ「UCN2452」の手口が明らかに

【ニュース】 ◆世界中の政府機関や企業の機密情報を傍受したハッカーグループ「UCN2452」の手口が明らかに (Gigazine, 2020/12/15 12:30) https://gigazine.net/news/20201215-ucn2452-solarwinds-trojan-horse/ 【関連まとめ記事】◆全体まとめ ◆攻撃組織 / …

Dark Halo Leverages SolarWinds Compromise to Breach Organizations

【ブログ】 ◆Dark Halo Leverages SolarWinds Compromise to Breach Organizations (Volexity, 2020/12/14) [Dark Halo、SolarWindsの妥協を利用して組織に侵入] https://www.volexity.com/blog/tag/darkhalo/

Highly Evasive Attacker Leverages SolarWinds Supply Chain to Compromise Multiple Global Victims With SUNBURST Backdoor

【概要】 項目 内容 攻撃者(Actor) UNC2452 マルウェア Sunburst, TearDrop, 【ブログ】 ◆Highly Evasive Attacker Leverages SolarWinds Supply Chain to Compromise Multiple Global Victims With SUNBURST Backdoor (Fireeye, 2020/12/13) [非常に回避的…


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2020