TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究・参照ログ

APT1 (まとめ)

【目次】

概要

【別名】*1
攻撃組織名 命名組織
APT1 FireEye *2
Advanced Persistent Threat 1
Comment Group
Byzantine Candor
Comment Crew
Comment Panda Crowdstrike
TG-8223 DEll SecureWorks
BrownFox iSight(FireEye)
Group 3
Gif89a
ShadyRat
Shanghai Group
Brown Fox
PLA Unit 61398 中国政府の対応組織(軍) *3
【概要】
項目 内容
オペレーション Shady RAT
使用マルウェア WEBC2, BISCUIT
【ATT&CK情報】

■ソフトウェア *4

ID Name
S0017 Biscuit
S0119 Cachedump
S0025 Calender
S0026 GlooxMail
S0008 Gsecdump
S0100 ipconfig
S0121 Lslsass
S0002 Mimikatz
S0039 Net
S0122 Pass-The-Hash-Tool
S0012 PoisonIvy
S0029 PsExec
S0006 Pwdump
S0345 Seasalt
S0057 Tasklist
S0109 Webc2
S0123 xCmd

記事

【ニュース】

■2012年

◆Hackers Linked to China’s Army Seen From EU to D.C. (Bloomberg, 2012/07/27 08:00 GMT)
http://www.bloomberg.com/news/2012-07-26/china-hackers-hit-eu-point-man-and-d-c-with-byzantine-candor.html
https://malware-log.hatenablog.com/entry/2012/07/27/000000_1

◆各国の大企業に中国ハッカー集団が侵入?(WIRED.jp) (PC Online, 2012/10/04)
http://pc.nikkeibp.co.jp/article/news/20121004/1065662/
https://malware-log.hatenablog.com/entry/2012/10/04/000000_6

◆産業発展のため? 中国ハッカー集団、各国の大企業に侵入 (産経新聞, 2012/10/05 13:00)
http://sankei.jp.msn.com/wired/news/121005/wir12100513010002-n1.htm
https://malware-log.hatenablog.com/entry/2012/10/05/000000_7


■2013年

◆Chinese Army Unit Is Seen as Tied to Hacking Against U.S. (The New York Times, 2013/02/18)
http://www.nytimes.com/2013/02/19/technology/chinas-army-is-seen-as-tied-to-hacking-against-us.htm
https://malware-log.hatenablog.com/entry/2013/02/18/000000_2

◆China hacking claims: tech firms move to front line in US cyberwar (theguardian, 2013/02/21)
https://www.theguardian.com/world/2013/feb/21/china-hacking-claims-tech-firms
https://malware-log.hatenablog.com/entry/2013/02/21/000000_2

◆米軍事機密流出 諜報機関「コメント・クルー」の疑い 中国軍指揮下のハッカー集団 (産経新聞, 2013/05/08 20:00)
http://sankei.jp.msn.com/world/news/130508/chn13050820020002-n1.htm
https://malware-log.hatenablog.com/entry/2013/05/08/000000_1

◆再考・APT~Mandiantレポートを基に~ (@IT, 2013/05/10)
http://www.atmarkit.co.jp/ait/articles/1305/09/news004.html
https://malware-log.hatenablog.com/entry/2013/05/10/000000

◆Chinese Hackers group 'Comment Crew' is still active and operating under cover (The Hacker News, 2013/06/26)
http://thehackernews.com/2013/06/Comment-Crew-Chinese-Hackers.html
https://malware-log.hatenablog.com/entry/2013/06/26/000000_2

◆中国のサイバー攻撃は「質より量」、コスパ優れる - ファイア・アイ報告 (Security NEXT, 2013/12/16)
http://www.security-next.com/045208
https://malware-log.hatenablog.com/entry/2013/12/16/000000_1


■2014年

◆FBIは中国人民軍のスパイ活動をいかにして特定したか =前編= (The Epoch Times, 2014/06/12 11:12)
https://www.epochtimes.jp/jp/2014/06/html/d36256.html
https://malware-log.hatenablog.com/entry/2014/06/12/000000_3

◆FBIは中国人民軍のスパイ活動をいかにして特定したか =後編= (The Epoch Times, 2014/06/13 12:20)
https://www.epochtimes.jp/jp/2014/06/html/d48086.html
https://malware-log.hatenablog.com/entry/2014/06/13/000000_2

◆中国サイバー攻撃の報告書には「決定的証拠」をあえて書かなかった (ITPro, 2014/06/19)
http://itpro.nikkeibp.co.jp/article/Interview/20140618/564962/
https://malware-log.hatenablog.com/entry/2014/06/19/000000_2


■2015年

◆サイバー攻撃で原発を停止!世界ハッカー極悪ランキング (日刊SPA, 2015/03/30)
http://nikkan-spa.jp/817832
https://malware-log.hatenablog.com/entry/2015/03/30/000000_1


■2018年

◆「APT1のソースコード、再利用」の謎 韓国狙いの攻撃を解析したMcAfeeの見解は (ITmedia, 2018/10/23 07:00)
http://www.itmedia.co.jp/enterprise/articles/1810/23/news050.html
https://malware-log.hatenablog.com/entry/2018/10/23/000000

◆中国のハッカーグループのソースコードを使った新たなサイバー攻撃 (ASCII.jp, 2018/10/24 16:30)
http://ascii.jp/elem/000/001/761/1761888/
https://malware-log.hatenablog.com/entry/2018/10/24/000000_2


■2019年

◆中国サイバー攻撃、日本標的=防衛機密・先端技術狙う-国家の意思背景 (時事通信, 2019/04/06 14:12)
https://www.jiji.com/sp/article?k=2019040600192&g=int
https://malware-log.hatenablog.com/entry/2019/04/06/000000

◆ファーウェイ社員が過去の「サイバー攻撃」に関与、英紙報道 (Forbes, 2019/07/09 12:30)
https://forbesjapan.com/articles/detail/28323
https://malware-log.hatenablog.com/entry/2019/07/09/000000_2

【ブログ】

■2013年

◆Mandiant APT1 report has critical analytic flaws (CitizenLab, 2013/02/19)
https://citizenlab.ca/2013/02/mandiant-apt1-report-has-critical-analytic-flaws/
https://malware-log.hatenablog.com/entry/2013/02/19/000000

◆APT1: Comment Crew による攻撃についての Q&A (Symantec, 2013/02/20)
http://www.symantec.com/connect/ru/blogs/apt1-comment-crew-qa
https://malware-log.hatenablog.com/entry/2013/02/20/000000_1

◆APT1レポートに関するまとめ? (セキュリティは楽しいかね? Part 2, 2013/02/27)
http://negi.hatenablog.com/entry/2013/02/27/161122
https://malware-log.hatenablog.com/entry/2013/02/27/000000_1


■2016年

◆APT攻撃と中国の密接な関係 (THE ZERO/ONE, 2016/11/18)
https://the01.jp/p0003555/
https://malware-log.hatenablog.com/entry/2016/11/18/000000_2

【公開情報】

■2010年

◆Operation Aurora (CFR, 2010/01)

PLA Unit 61398が、Sneaky Pandaの支援を受けて行ったと推測。Winnti Umbrellaに関連

https://www.cfr.org/interactive/cyber-operations/operation-aurora
https://malware-log.hatenablog.com/entry/2010/01/31/000000


■2014年

◆Internet Infrastructure Review (IIR) Vol.23 (IIJ, 2014/05/28)
http://www.iij.ad.jp/company/development/report/iir/023/01_04.html
https://malware-log.hatenablog.com/entry/2014/05/28/000000_2

【資料】

◆APT1 Exposing One of China’s Cyber Espionage Units (Mandiant, 2013/02/18)
https://malware-log.hatenablog.com/entry/2013/02/18/000000_2
https://malware-log.hatenablog.com/entry/2013/02/18/000000_2


【図表】

f:id:tanigawa:20160814105457p:plain
Comment Crew に関連する脅威検出の分布図
出典: http://www.symantec.com/connect/ru/blogs/apt1-comment-crew-qa?page=1
f:id:tanigawa:20180328203329j:plain
出典: http://www.security-next.com/045208



【関連まとめ記事】

全体まとめ
 ◆攻撃組織 / Actor (まとめ)

◆標的型攻撃組織 / APT (まとめ)
https://malware-log.hatenablog.com/entry/APT


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2020