Malware: ShadowPad
【訳】SentinelOneは、自社のインフラストラクチャと顧客を標的とした中国の諜報活動キャンペーンを暴露しました 【図表】 出典: 【要約】 中国と関連するスパイグループ「PurpleHaze」が、サイバーセキュリティ企業SentinelOneとその顧客を標的に偵察活動を…
【別名】 攻撃組織名 命名組織 ShadowPad 一般的 PoisonPlug 【概要】■使用組織 ATT&CK ID 使用組織名 備考 G0060 Tick / BRONZE BUTLER G0081 Tropic Trooper G0096 Axiom / Winnti / APT41 G0131 Tonto Team G1006 Earth Lusca - RedEcho - FamousSparrow …
【訳】中国のFamousSparrowが活動を再開、レーダーから消えた数年後、米国組織に侵入 【要約】 中国のスパイグループ「FamousSparrow」が再び活動を再開し、米国の金融セクターとメキシコの研究機関を標的にした。ESETによると、グループは「SparrowDoor」の…
【訳】中国発のFamousSparrowハッカー集団、アップグレードしたマルウェアを攻撃で使用 【図表】 観測された攻撃チェーン (ESET) 出典: https://www.bleepingcomputer.com/news/security/chinese-famoussparrow-hackers-deploy-upgraded-malware-in-attacks/…
【訳】米国およびメキシコの組織に対する攻撃で、新たな SparrowDoor の亜種が発見される 【図表】 SparrowDoorバックドア 出典: https://thehackernews.com/2025/03/new-sparrowdoor-backdoor-variants-found.html 【要約】 中国のスパイグループ「FamousSp…
【訳】あなたは、この日を「ついにFamousSparrowを捕まえた日」として、いつまでも覚えていることでしょう 【図表】 図1. このFamousSparrowキャンペーンで使用された侵害チェーンの概要 図2. ネットワーク通信に使用される基本パケットフォーマット 図3. リ…
【訳】中国関連の攻撃者、チェック・ポイントの脆弱性を悪用し、ShadowPadとランサムウェアを展開 【図表】 出典: https://thehackernews.com/2025/02/chinese-linked-attackers-exploit-check.html 【要約】 中国寄りのハッカーがチェック・ポイントの脆弱…
【ニュース】 ◆「Microsoft COM」既知脆弱性に悪用報告 - 台湾狙う攻撃に使用 (Security NEXT, 2024/08/06) https://www.security-next.com/160552
【ニュース】 ◆中国のハッカー集団が、再び他国の「送電インフラ」を狙い始めた (Wired, 2023/09/15) 中国のサイバー犯罪集団「APT41」の分派と思われる勢力が、アジアのある国の国営電力網のコンピューターネットワークに侵入したことが明らかになった。こ…
【訳】「レッドフライ」ハッカーが電力会社のネットワークに6ヶ月間侵入 【図表】 偽のVMwareサービスの詳細(Symantec) ドライブ情報の抽出に使用されるPowerShellコマンド(Symantec) 出典: https://www.bleepingcomputer.com/news/security/redfly-hack…
【ニュース】 ◆中国のサイバースパイ集団、新たに南米の外交機関を標的に (CIO, 2023/02/17) https://project.nikkeibp.co.jp/idg/atcl/19/00002/00437/ 【関連まとめ記事】◆全体まとめ ◆攻撃組織 / Actor (まとめ) ◆標的型攻撃組織 / APT (まとめ) ◆Earth L…
【辞書】 ◆APT group: TAG-38 (ETDA, 2022/04/08) https://apt.etda.or.th/cgi-bin/showcard.cgi?g=TAG%2D38 【概要】■使用ツール 項目 内容 FRP Fast Reverse Proxy ShadowPad Winnti 【ニュース】 ◆2005年に開発終了したウェブサーバー「Boa」を悪用する攻…
【ニュース】 ◆Cyberspies drop new infostealer malware on govt networks in Asia (BleepingComputer, 2022/09/13 06:00) [アジアの政府機関ネットワークに新たな情報窃取マルウェアが出現] https://www.bleepingcomputer.com/news/security/cyberspies-dr…
【訳】RedEchoグループ、公開後にドメインを停止 【要約】 RedEcho、インド電力網への攻撃インフラを停止中国のハッカーグループRedEchoは、インドの電力網を標的とした攻撃が2021年2月に公表された後、攻撃インフラを停止。このグループは2020年初頭から活…
【ニュース】 ◆中国に関係するグループRedEchoがインドの電力セクターを標的に (ZDNet, 2021/03/01 11:39) https://japan.zdnet.com/release/30524230/ 【関連まとめ記事】◆全体まとめ ◆マルウェア / Malware (まとめ) ◆標的型攻撃マルウェア (まとめ) ◆Shad…
【訳】国境線の緊張が高まる中、中国系グループ「レッドエコー」がインドの電力セクターを標的に 【ブログ】 ◆China-linked Group RedEcho Targets the Indian Power Sector Amid Heightened Border Tensions (Recoded Future, 2021/02/28) [国境線の緊張が…
【資料】 ◆ShadowPad: new activity from the Winnti group (PTSecurity, 2020/09/08) https://www.ptsecurity.com/upload/corporate/ww-en/pt-esc/winnti-2020-eng.pdf
【公開情報】 ◆Kaspersky Labのグローバル調査分析チーム、ShadowPadの発見でVirus Bulletin 2018で表彰 (Kaspersky, 2018/10/23) ~最大規模のサプライチェーン攻撃の発見と解析が評価され、Péter SzőrアワードのTechnical Security Research賞を受賞~ htt…
【目次】 概要 【概要】 記事 【ニュース】 【ブログ】 【資料】 【関連情報】 関連情報 【関連まとめ記事】 概要 【概要】 ■ShadowPad C&Cサーバに対して8時間に1回、感染コンピューターのユーザー名、ドメイン名、ホスト名などの基本情報を送る Winnti が…
【概要】 ■タイムライン 日時 内容 2017/03/11 05:00 TeamViewerからシングルサインインで不正侵入 2017/03/12 04:00 別のコンピュータにリモートデスクトップサービス経由でバックドアを設置(感染拡大) 以後数週間 Piriform社内のシステムなどを探索 ↓ 管理…
【ニュース】 ◆韓NetSarang製サーバ管理ツールのアップデートにバックドア - 「PlugX」との類似点も (Security NEXT, 2017/08/18) http://www.security-next.com/084904
【概要】 C&Cサーバに対して8時間に1回、感染コンピューターのユーザー名、ドメイン名、ホスト名などの基本情報を送る Winnti が過去に使用したPlugXマルウェアの変種と似通った部分が存在 【ニュース】 ◆カスペルスキー、正規ソフトのアップデートにバック…
【ニュース】 ◆‘ShadowPad’ attack sabotaged NetSarang software with backdoor (SCmagazine, 2017/08/17) [「ShadowPad」攻撃でバックドア付きのNetSarangソフトウェアが破壊される] https://www.scmagazine.com/home/security-news/malware/shadowpad-att…
【概要】 マルウェアが混入したファイルは nssock2.dll 2017/08/05 にマルウェアが含まれないソフトがリリース 【ニュース】 ◆サーバ管理ツールにバックドア--香港で被害発生 (ZDNet, 2017/08/16 13:44) https://japan.zdnet.com/article/35105852/ 【関連ま…
【ニュース】 ◆正規のソフトウェアアップデートにマルウェア、法人顧客に配信 (ITmedia, 2017/08/16 09:30) 韓国のNetSarang Computerが顧客向けに配信したソフトウェアパッケージに何者かが改ざんを施し、マルウェアが仕込まれていたことが分かった https:/…
【資料】 ◆ShadowPad: popular server management software hit in supply chain attack Part 2: Technical Details (Kaspersky, 2017/08/15) https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2017/08/07172148/ShadowPad_technical_des…
【ブログ】 ◆ShadowPad in corporate networks (SecureList(Kaspersky), 2017/08/15) [企業ネットワークにおけるShadowPad] Popular server management software hit in supply chain attack [人気のサーバー管理ソフトがサプライチェーン攻撃を受ける] http…
