攻撃組織: Winnti / Blackfly / Suckfly / Wicked Panda / Wicked Spider / APT41 / Barium
【ニュース】 ◆ドイツの大手製薬会社バイエルにサイバー攻撃、「データ窃盗が行われた形跡はなし」 (ZDNet, 2019/04/05 11:26) https://japan.zdnet.com/article/35135308/ 【関連まとめ記事】 ◆Winnti [攻撃組織] (まとめ) http://malware-log.hatenablog.c…
概要 【辞典】 ◆Winnti Umbrella (Cyber Operation Tracker) https://www.cfr.org/interactive/cyber-operations/winnti-umbrella ◆Winnti Umbrella (Malpedia) https://malpedia.caad.fkie.fraunhofer.de/actor/winnti_umbrella 【概要】■Winnti Unbrellaの…
【概要】■APT10(menupass)の使用ツール PowerSploit Koadic QuasarRAT Redleaves(Trochilus) PowerShell Empire DKMC Cobalt Strike 【公開情報】 ◆APT攻撃者グループ menuPass(APT10) による新たな攻撃を確認 (LAC, 2018/05/21) https://www.lac.co.jp/lacw…
【ブログ】 ◆Hackers in China are part of massive government group (Chinh's News, 2018/05/08) http://chinhdangvu1.blogspot.com/2018/05/hackers-in-china-are-part-of-massive.html
【公開情報】 ◆Burning Umbrella: An Intelligence Report on the Winnti Umbrella and Associated State-Sponsored Attackers (401 TRG, 2018/05/03) https://401trg.com/burning-umbrella/ 【インディケータ情報】 ◆Winnti [攻撃組織] https://ioc.hatenab…
【資料】 ◆APTマルウェアに⾒る不易流⾏ (Macnica Networks, 2018/01/25) https://www.jpcert.or.jp/present/2018/JSAC2018_09_yanagishita-takeuchi.pdf 【関連まとめ記事】 ◆Winnti (まとめ) http://malware-log.hatenablog.com/entry/winnti ◆APT12 (まと…
【資料】 ◆JPCERT/CCが見た、標的型攻撃の実態 (久保啓司, 2017/11/28) https://www.nic.ad.jp/ja/materials/iw/2017/proceedings/d1/d1-1-kubo.pdf 【関連まとめ記事】◆全体まとめ ◆攻撃組織 / Actor (まとめ) ◆標的型攻撃組織 / APT (まとめ) ◆Winnti / AP…
【ニュース】 ◆Research claims CCLeaner attack carried out by Chinese-linked group (CyberScoop, 2017/10/02) https://www.cyberscoop.com/ccleaner-attack-china-intezer-labs-piriform-apt17/ 【関連まとめ記事】 ◆Winnti (まとめ) http://malware-log…
【ニュース】 ◆‘ShadowPad’ attack sabotaged NetSarang software with backdoor (SCmagazine, 2017/08/17) [「ShadowPad」攻撃でバックドア付きのNetSarangソフトウェアが破壊される] https://www.scmagazine.com/home/security-news/malware/shadowpad-att…
【ブログ】 ◆Winnti Evolution - Going Open Source (PROTECTWISE, 2017/07/11) https://www.protectwise.com/blog/winnti-evolution-going-open-source.html 【関連サイト】 ◆Winnti (まとめ) http://malware-log.hatenablog.com/entry/winnti
【概要】 項目 内容 攻撃者 Hack520 【ブログ】 ◆サイバー犯罪者集団「WINNTI」に関与するメンバーを特定か (Trendmicro, 2017/04/27) http://blog.trendmicro.co.jp/archives/14794 【IoT情報】 ◆Winnti (IoC (TT Malware Log)) https://ioc.hatenablog.com…
【ブログ】 ◆Of Pigs and Malware: Examining a Possible Member of the Winnti Group (Trendmicro, 2017/04/19) https://blog.trendmicro.co.jp/archives/14794 【関連まとめ記事】 ◆Winnti (まとめ) http://malware-log.hatenablog.com/entry/winnti
【公開情報】 ◆Winnti (NJCCIC, 2017/04/03) https://www.cyber.nj.gov/threat-profiles/trojan-variants/winnti 【関連まとめ記事】 ◆Winnti (まとめ) http://malware-log.hatenablog.com/entry/winnti
出典: http://blog.trendmicro.co.jp/archives/14654 【概要】 GitHubのリポジトリを利用して C&C情報を取得 暗号化アルゴリズム PlugX様式+シフト文字列+ Base64 PlugX様式+シフト文字列+ Base64 + XOR PlugX様式+ Base64 + XOR マーク文字列+シフト文字列…
【公開情報】 ◆Winnti Polymorphism (Symantec, 2016/12/19) https://hitcon.org/2016/pacific/0composition/pdf/1201/1201%20R2%201610%20winnti%20polymorphism.pdf 【関連まとめ記事】 ◆Winnti (まとめ) http://malware-log.hatenablog.com/entry/winnti
【資料】 ◆WINNTI ANALYSIS (NOVETTA, 2016/06/20) http://www.novetta.com/wp-content/uploads/2015/04/novetta_winntianalysis.pdf 【関連サイト】 ◆Winnti (まとめ) http://malware-log.hatenablog.com/entry/winnti
【ニュース】 ◆Suckfly APT (XForce, 2016/06/03) https://exchange.xforce.ibmcloud.com/collection/Suckfly-APT-aa8af56fd12d25c98fc49ca5341160ab 【関連まとめ記事】 ◆Winnti (まとめ) http://malware-log.hatenablog.com/entry/winnti
【ブログ】 ◆Suckfly (Schneier on Security, 2016/05/26 06:31) https://www.schneier.com/blog/archives/2016/05/suckfly.html 【関連まとめ記事】 ◆Winnti (まとめ) http://malware-log.hatenablog.com/entry/winnti
Suckfly のライフサイクル https //www.symantec.com/connect/nl/blogs/suckfly-2?page=1 【ブログ】 ◆インドの組織を狙う Suckfly (Symantec, 2016/05/19) https://www.symantec.com/connect/nl/blogs/suckfly-2?page=1 【関連まとめ記事】 ◆Winnti (まとめ)…
【ニュース】 ◆Suckfly Cyber-Espionage Group Targets Indian Government and Private Companies (Softpedia, 2016/05/18) http://news.softpedia.com/news/suckfly-cyber-espionage-group-targets-indian-government-and-private-companies-504183.shtml
Suckfly(Winnti) のライフサイクル 出典: https://www.symantec.com/connect/blogs/suckfly-2 【概要】■ドロッパー dllhost.exe .dll ファイルのメインホスト iviewers.dll 暗号化されたペイロードを読み込み、復号するファイル msfled 暗号化されたペイロー…
【ニュース】 ◆Indian organizations targeted in Suckfly attacks (Symantec, 2016/05/17) https://www.symantec.com/connect/blogs/indian-organizations-targeted-suckfly-attacks
Suckfly hacking tools and malware, characterized by functionality Tracking Suckfly’s use of stolen certificates, by month 出典: https://www.symantec.com/connect/blogs/suckfly-revealing-secret-life-your-code-signing-certificates 【ニュース…
【ニュース】 ◆'Suckfly' in the ointment: Chinese APT group steals code-signing certificates (SC Magazine, 2016/03/16) https://www.scmagazine.com/suckfly-in-the-ointment-chinese-apt-group-steals-code-signing-certificates/article/528968/ 【…
Suckfly hacking tools and malware, characterized by functionality 出典: https://www.symantec.com/connect/blogs/suckfly-revealing-secret-life-your-code-signing-certificates 【ブログ】 ◆Suckfly: Revealing the secret life of your code signing…
RC4 Key 出典: https://securelist.com/blog/virus-watch/74150/plugx-malware-a-good-hacker-is-an-apologetic-hacker/【ブログ】 ◆PlugX malware: A good hacker is an apologetic hacker (SecureList, 2016/03/10 11:59) https://securelist.com/blog/vir…
【ブログ】 ◆I am HDRoot! Part 1 (SECURE LIST, 2015/10/06) https://securelist.com/i-am-hdroot-part-1/72275/ 【関連まとめ記事】 ◆Winnti (まとめ) http://malware-log.hatenablog.com/entry/winnti
出典: http://www.security-next.com/060001 【ニュース】 ◆「MERS予防」装う標的型攻撃、「CHMファイル」に注意 (Security NEXT, 2015/06/30) http://www.security-next.com/060001/2 【関連まとめ記事】 ◆Winnti (まとめ) http://malware-log.hatenablog.c…
【ニュース】 ◆Winnti Malware Gets into Pharmaceutical Business (Softpedia, 2015/06/23) https://news.softpedia.com/news/winnti-malware-gets-into-pharmaceutical-business-485013.shtml 【関連サイト】 ◆Winnti (まとめ) http://malware-log.hatenab…
【ブログ】 ◆Games are over: Winnti is now targeting pharmaceutical companies (Kaspersky, 2015/06/22 14:19) https://securelist.com/games-are-over/70991/