【目次】
概要
【ATT&CK ID】
| ID(ATT&CK) |
備考 |
|---|---|
| G0006 | APT1 |
【別名】*1
| 攻撃組織名 | 命名組織 |
|---|---|
| APT1 | FireEye *2 |
| BrownFox | iSight(FireEye) |
| Byzantine Candor | |
| Comment Crew | |
| Comment Group | |
| Comment Panda | Crowdstrike |
| Gif89a | |
| Group 3 | |
| PLA Unit 61398 | 中国政府の対応組織(軍) *3 |
| ShadyRat | |
| Shanghai Group | |
| TG-8223 | DEll SecureWorks |
【辞書】
◆中国サイバー軍 (Wikipedia)
https://ja.wikipedia.org/wiki/%E4%B8%AD%E5%9B%BD%E3%82%B5%E3%82%A4%E3%83%90%E3%83%BC%E8%BB%8D
◆APT1 (ATT&CK)
https://attack.mitre.org/groups/G0006/
◆Comment Crew (Malpedia)
https://malpedia.caad.fkie.fraunhofer.de/actor/comment_crew
◆PLA Unit 61398 (Cyber Operation Tracker)
https://www.cfr.org/cyber-operations/pla-unit-61398
【概要】
| 項目 | 内容 |
|---|---|
| オペレーション | Shady RAT |
| 使用マルウェア | WEBC2, BISCUIT |
【ATT&CK情報】
■ソフトウェア *4
| ID | Name |
|---|---|
| S0017 | Biscuit |
| S0119 | Cachedump |
| S0025 | Calender |
| S0026 | GlooxMail |
| S0008 | Gsecdump |
| S0100 | ipconfig |
| S0121 | Lslsass |
| S0002 | Mimikatz |
| S0039 | Net |
| S0122 | Pass-The-Hash-Tool |
| S0012 | PoisonIvy |
| S0029 | PsExec |
| S0006 | Pwdump |
| S0345 | Seasalt |
| S0057 | Tasklist |
| S0109 | Webc2 |
| S0123 | xCmd |
【最新情報】
◆APT1による攻撃の後、標的とされた企業が辿った運命とは? (F-SEcure, 2019/08/23)
https://blog.f-secure.com/ja/apt1-what-happened-next/
⇒ https://malware-log.hatenablog.com/entry/2019/08/23/000000_14
記事
【ニュース】
■2012年
◆Hackers Linked to China’s Army Seen From EU to D.C. (Bloomberg, 2012/07/27 08:00 GMT)
http://www.bloomberg.com/news/2012-07-26/china-hackers-hit-eu-point-man-and-d-c-with-byzantine-candor.html
⇒ https://malware-log.hatenablog.com/entry/2012/07/27/000000_1
◆各国の大企業に中国ハッカー集団が侵入?(WIRED.jp) (PC Online, 2012/10/04)
http://pc.nikkeibp.co.jp/article/news/20121004/1065662/
⇒ https://malware-log.hatenablog.com/entry/2012/10/04/000000_6
◆産業発展のため? 中国ハッカー集団、各国の大企業に侵入 (産経新聞, 2012/10/05 13:00)
http://sankei.jp.msn.com/wired/news/121005/wir12100513010002-n1.htm
⇒ https://malware-log.hatenablog.com/entry/2012/10/05/000000_7
■2013年
◆Chinese Army Unit Is Seen as Tied to Hacking Against U.S. (The New York Times, 2013/02/18)
http://www.nytimes.com/2013/02/19/technology/chinas-army-is-seen-as-tied-to-hacking-against-us.htm
⇒ https://malware-log.hatenablog.com/entry/2013/02/18/000000_2
◆China hacking claims: tech firms move to front line in US cyberwar (theguardian, 2013/02/21)
https://www.theguardian.com/world/2013/feb/21/china-hacking-claims-tech-firms
⇒ https://malware-log.hatenablog.com/entry/2013/02/21/000000_2
◆サイバー部隊61398 コンピュータ学科学生の募集情報が流出 (大紀元, 2013/02/25 14:00)
http://www.epochtimes.jp/jp/2013/02/html/d17279.html
⇒ https://malware-log.hatenablog.com/entry/2013/02/25/000000_1
◆人民解放軍サイバー攻撃の拠点が上海の大都会にある理由 (zakzak, 2013/02/26)
http://www.zakzak.co.jp/society/foreign/news/20130226/frn1302261131000-n1.htm
⇒ https://malware-log.hatenablog.com/entry/2013/02/26/000000_4
◆米軍事機密流出 諜報機関「コメント・クルー」の疑い 中国軍指揮下のハッカー集団 (産経新聞, 2013/05/08 20:00)
http://sankei.jp.msn.com/world/news/130508/chn13050820020002-n1.htm
⇒ https://malware-log.hatenablog.com/entry/2013/05/08/000000_1
◆再考・APT~Mandiantレポートを基に~ (@IT, 2013/05/10)
http://www.atmarkit.co.jp/ait/articles/1305/09/news004.html
⇒ https://malware-log.hatenablog.com/entry/2013/05/10/000000
◆Chinese Hackers group 'Comment Crew' is still active and operating under cover (The Hacker News, 2013/06/26)
http://thehackernews.com/2013/06/Comment-Crew-Chinese-Hackers.html
⇒ https://malware-log.hatenablog.com/entry/2013/06/26/000000_2
◆中国のサイバー攻撃は「質より量」、コスパ優れる - ファイア・アイ報告 (Security NEXT, 2013/12/16)
http://www.security-next.com/045208
⇒ https://malware-log.hatenablog.com/entry/2013/12/16/000000_1
■2014年
◆米、中国軍当局者5人を起訴…企業機密盗む (読売新聞, 2014/05/20 01:53)
http://www.yomiuri.co.jp/world/20140519-OYT1T50161.html
⇒ https://malware-log.hatenablog.com/entry/2014/05/20/000000_8
◆米司法省:中国軍当局者5人を訴追−米企業へのスパイ行為で (Bloomberg.co.jp, 2014/05/20 01:55)
http://www.bloomberg.co.jp/news/123-N5TY2Y6JTSEH01.html
⇒ https://malware-log.hatenablog.com/entry/2014/05/20/000000_11
◆米国、中国軍関係者を起訴 サイバー攻撃で企業情報盗む (朝日新聞, 2014/05/20 02:02)
http://digital.asahi.com/articles/ASG5N006NG5MUHBI02Y.html
⇒ https://web.archive.org/web/20140624010918/http://www.asahi.com/articles/ASG5N006NG5MUHBI02Y.html
◆米 サイバー攻撃で中国軍将校5人を起訴 (NHK, 2014/05/20 04:28)
http://www3.nhk.or.jp/news/html/20140520/k10014564331000.html
https://web.archive.org/web/20140520094201/http://www3.nhk.or.jp/news/html/20140520/k10014564331000.html
⇒ https://malware-log.hatenablog.com/entry/2014/05/20/000000_12
◆UPDATE 1-米、中国軍関係者5人を訴追 サイバー攻撃の産業スパイ容疑で (ロイター, 2014/05/20 04:43)
https://jp.reuters.com/article/wtInvesting/idJPL3N0O541Q20140519
⇒ https://malware-log.hatenablog.com/entry/2014/05/20/000000_10
◆米、中国将校5人を起訴 サイバー攻撃、原発企業などスパイ (産経新聞, 2014/05/20 07:06)
http://sankei.jp.msn.com/world/news/140520/amr14052007060001-n1.htm
https://web.archive.org/web/20141210011846/http://www.sankei.com/world/news/140520/wor1405200046-n1.html
⇒ https://malware-log.hatenablog.com/entry/2014/05/20/000000_13
◆米国から訴追された中国軍ハッカー5人の正体 (WSJ, 2014/05/20 12:54)
http://jp.wsj.com/news/articles/SB10001424052702303923004579572980441765644
https://web.archive.org/web/20140527095303/http://jp.wsj.com/news/articles/SB10001424052702303923004579572980441765644
⇒ https://malware-log.hatenablog.com/entry/2014/05/20/000000_14
◆中国サイバー攻撃、米基幹産業の機密狙う 警告無視 (日経新聞, 2014/05/20 21:54)
米政府が5人訴追
https://www.nikkei.com/article/DGXNASGM2003A_Q4A520C1FF2000/
⇒ https://malware-log.hatenablog.com/entry/2014/05/20/000000_9
◆FBIは中国人民軍のスパイ活動をいかにして特定したか =前編= (The Epoch Times, 2014/06/12 11:12)
https://www.epochtimes.jp/jp/2014/06/html/d36256.html
⇒ https://malware-log.hatenablog.com/entry/2014/06/12/000000_3
◆FBIは中国人民軍のスパイ活動をいかにして特定したか =後編= (The Epoch Times, 2014/06/13 12:20)
https://www.epochtimes.jp/jp/2014/06/html/d48086.html
⇒ https://malware-log.hatenablog.com/entry/2014/06/13/000000_2
◆中国サイバー攻撃の報告書には「決定的証拠」をあえて書かなかった (ITPro, 2014/06/19)
http://itpro.nikkeibp.co.jp/article/Interview/20140618/564962/
⇒ https://malware-log.hatenablog.com/entry/2014/06/19/000000_2
■2015年
◆サイバー攻撃で原発を停止!世界ハッカー極悪ランキング (日刊SPA, 2015/03/30)
http://nikkan-spa.jp/817832
⇒ https://malware-log.hatenablog.com/entry/2015/03/30/000000_1
■2018年
◆「APT1のソースコード、再利用」の謎 韓国狙いの攻撃を解析したMcAfeeの見解は (ITmedia, 2018/10/23 07:00)
http://www.itmedia.co.jp/enterprise/articles/1810/23/news050.html
⇒ https://malware-log.hatenablog.com/entry/2018/10/23/000000
◆中国のハッカーグループのソースコードを使った新たなサイバー攻撃 (ASCII.jp, 2018/10/24 16:30)
http://ascii.jp/elem/000/001/761/1761888/
⇒ https://malware-log.hatenablog.com/entry/2018/10/24/000000_2
■2019年
◆中国サイバー攻撃、日本標的=防衛機密・先端技術狙う-国家の意思背景 (時事通信, 2019/04/06 14:12)
https://www.jiji.com/sp/article?k=2019040600192&g=int
⇒ https://malware-log.hatenablog.com/entry/2019/04/06/000000
◆ファーウェイ社員が過去の「サイバー攻撃」に関与、英紙報道 (Forbes, 2019/07/09 12:30)
https://forbesjapan.com/articles/detail/28323
⇒ https://malware-log.hatenablog.com/entry/2019/07/09/000000_2
【ブログ】
■2013年
◆Mandiant APT1 report has critical analytic flaws (CitizenLab, 2013/02/19)
https://citizenlab.ca/2013/02/mandiant-apt1-report-has-critical-analytic-flaws/
⇒ https://malware-log.hatenablog.com/entry/2013/02/19/000000
◆APT1: Comment Crew による攻撃についての Q&A (Symantec, 2013/02/20)
http://www.symantec.com/connect/ru/blogs/apt1-comment-crew-qa
⇒ https://malware-log.hatenablog.com/entry/2013/02/20/000000_1
◆APT1レポートに関するまとめ? (セキュリティは楽しいかね? Part 2, 2013/02/27)
http://negi.hatenablog.com/entry/2013/02/27/161122
⇒ https://malware-log.hatenablog.com/entry/2013/02/27/000000_1
■2016年
◆APT攻撃と中国の密接な関係 (THE ZERO/ONE, 2016/11/18)
https://the01.jp/p0003555/
⇒ https://malware-log.hatenablog.com/entry/2016/11/18/000000_2
■2019年
◆APT1による攻撃の後、標的とされた企業が辿った運命とは? (F-SEcure, 2019/08/23)
https://blog.f-secure.com/ja/apt1-what-happened-next/
⇒ https://malware-log.hatenablog.com/entry/2019/08/23/000000_14
【公開情報】
■2010年
◆Operation Aurora (CFR, 2010/01)
PLA Unit 61398が、Sneaky Pandaの支援を受けて行ったと推測。Winnti Umbrellaに関連
https://www.cfr.org/interactive/cyber-operations/operation-aurora
⇒ https://malware-log.hatenablog.com/entry/2010/01/31/000000
■2014年
◆Internet Infrastructure Review (IIR) Vol.23 (IIJ, 2014/05/28)
http://www.iij.ad.jp/company/development/report/iir/023/01_04.html
⇒ https://malware-log.hatenablog.com/entry/2014/05/28/000000_2
【資料】
◆APT1 Exposing One of China’s Cyber Espionage Units (Mandiant, 2013/02/18)
https://malware-log.hatenablog.com/entry/2013/02/18/000000_2
⇒ https://malware-log.hatenablog.com/entry/2013/02/18/000000_2
【図表】
Comment Crew に関連する脅威検出の分布図
出典: http://www.symantec.com/connect/ru/blogs/apt1-comment-crew-qa?page=1
出典: http://www.security-next.com/045208
【検索】
google: APT1
google: Comment Crew
google: Comment Group
google: Comment Panda
google:news: APT1
google:news: Comment Crew
google:news: Comment Group
google:news: Comment Panda
google: site:virustotal.com APT1
google: site:virustotal.com Comment Crew
google: site:virustotal.com Comment Group
google: site:virustotal.com Comment Panda
google: site:github.com APT1
google: site:github.com Comment Crew
google: site:github.com Comment Group
google: site:github.com Comment Panda
■Bing
https://www.bing.com/search?q=APT1
https://www.bing.com/search?q=Comment%20Crew
https://www.bing.com/search?q=Comment%20Group
https://www.bing.com/search?q=Comment%20Panda
https://www.bing.com/news/search?q=APT1
https://www.bing.com/news/search?q=Comment%20Crew
https://www.bing.com/news/search?q=Comment%20Group
https://www.bing.com/news/search?q=Comment%20Panda
https://twitter.com/search?q=%23APT1
https://twitter.com/search?q=%23Comment%20Crew
https://twitter.com/search?q=%23Comment%20Group
https://twitter.com/search?q=%23Comment%20Panda
https://twitter.com/hashtag/APT1
https://twitter.com/hashtag/Comment%20Crew
https://twitter.com/hashtag/Comment%20Group
https://twitter.com/hashtag/Comment%20Panda
関連情報
【関連まとめ記事】
◆標的型攻撃組織 / APT (まとめ)
https://malware-log.hatenablog.com/entry/APT
