TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究のログ

APT10 / MenuPass (まとめ)

概要

【辞書】

◆Stone Panda (Malpedia)
https://malpedia.caad.fkie.fraunhofer.de/actor/stone_panda

◆menuPass (ATT&CK)
https://attack.mitre.org/groups/G0045/

◆ChessMaster (IBM X-Force)
https://exchange.xforce.ibmcloud.com/collection/ChessMaster-6475155a00cd56ae521e99ec453b50ec/reports


【別名】

攻撃組織名 命名組織
menuPass UNIT42(Paloalto), Trend Micro, 一般
Stone Panda CrowdStrike
APT10 FireEye
Red Apollo PWC
CVNX BAE Systems
POTASSIUM Microsoft


【使用マルウェア】

マルウェア名 備考
Poison Ivy
PlugX
Emdivi
ChChes
Anel
Cobalt_strike
Redleaves
Quasar_rat
Trochilus_rat


【使用ツール】

ツール名 備考
mimikatz
psexec
pwdump
uppercut


【キャンペーン】

オペレーション名 備考
Cloud Hopper

記事


【解説記事】

◆長期的に活動する脅威グループ「APT10(MenuPass)」の最新状況が明らかに (FireEye)
~新たなツールを用いた世界的な攻撃キャンペーン~
https://www.fireeye.jp/company/press-releases/2017/apt10-menupass-group.html

◆APT10 (MenuPass Group): New Tools, Global Campaign Latest Manifestation of Longstanding Threat (FireEye, 2017/04/06)
https://www.fireeye.com/blog/threat-research/2017/04/apt10_menupass_grou.html
http://malware-log.hatenablog.com/entry/2017/04/06/000000_1


【ニュース】

◆リモートアクセスツール「Poison Ivy」と使った不正アクセスが復活の兆し、FireEyeがレポート公開 (クラウドwatch, 2013/08/29 18:00)
http://cloud.watch.impress.co.jp/docs/release/613256.html

◆Who is Mr An, and was he working for APT10? (Intrusiontruth, 2018/08/31)
https://intrusiontruth.wordpress.com/2018/08/31/who-is-mr-an-and-was-he-working-for-apt10/

◆中国「APT10」による国内メディア狙った標的型攻撃 - 外交問題関連ファイルを偽装 (Security NEXT, 2018/09/14)
http://www.security-next.com/097988
http://malware-log.hatenablog.com/entry/2018/09/14/000000_2

◆サイバー攻撃で狙われる国立大、対策阻む「学問の自由」 (日経xTECH, 2018/09/18)
https://tech.nikkeibp.co.jp/atcl/nxt/column/18/00001/01011/
http://malware-log.hatenablog.com/entry/2018/09/18/000000_10

◆「中国政府系」ハッカーを追い詰める「謎の集団」の正体に迫る (Forsight, 2018/10/17)
https://www.fsight.jp/articles/-/44352
http://malware-log.hatenablog.com/entry/2018/10/17/000000

◆米、中国人ハッカー2人を起訴=海軍やNASA標的 (時事通信(Biglobe), 2018/12/21 01:34)
https://news.biglobe.ne.jp/international/1221/jj_181221_2245151547.html
http://malware-log.hatenablog.com/entry/2018/12/21/000000

◆米、中国政府のハッカー2人を起訴 日本含む12か国でサイバー攻撃 (AFP BB News, 2018/12/21 05:20)
http://www.afpbb.com/articles/-/3203517
http://malware-log.hatenablog.com/entry/2018/12/21/000000

◆日本含む12か国から機密盗む、米が中国人起訴 (読売新聞, 2018/12/21 19:14)
https://www.yomiuri.co.jp/world/20181221-OYT1T50114.html
http://malware-log.hatenablog.com/entry/2018/12/21/000000_2

◆中国サイバースパイ集団「APT10」、暗躍の背景は (日経新聞, 2018/12/28 06:30)
https://www.nikkei.com/article/DGXMZO39404130W8A221C1X13000/
http://malware-log.hatenablog.com/entry/2018/12/28/000000_3

◆日本政府が警告、サイバー攻撃集団APT10の正体 (日経xTECH, 2019/01/11 05:00)
https://tech.nikkeibp.co.jp/atcl/nxt/column/18/00001/01504/
http://malware-log.hatenablog.com/entry/2019/01/11/000000

◆ハッカー集団、背景に中国政府か 見えてきた侵入の経緯 (朝日新聞, 2019/01/13 08:00)
https://www.asahi.com/articles/ASM196W3GM19ULZU01C.html?iref=com_inttop_gold_list_n
http://malware-log.hatenablog.com/entry/2019/01/13/000000

◆経団連を標的、中国人ハッカー集団 ウイルスは2年潜伏 (朝日新聞, 2019/01/13 08:00)
https://www.asahi.com/articles/ASM196W3GM19ULZU01C.html?iref=com_inttop_gold_list_n
http://malware-log.hatenablog.com/entry/2019/01/13/000000_1

◆China hacked Norway's Visma to steal client secrets: investigators (ロイター, 2019/02/06 20:06)
https://www.reuters.com/article/us-china-cyber-norway-visma/china-hacked-norways-visma-to-steal-client-secrets-investigators-idUSKCN1PV141

◆クラッカー集団「APT10」が大企業のネットワークに侵入したことが判明、実行犯は中国の情報機関の手先である可能性 (2019/02/07 16:00)
https://gigazine.net/news/20190207-china-apt10-crack-norway-visma/

◆中国のハッカー集団、ノルウェーのクラウド企業を攻撃か (ASCII.jp, 2019/02/07 13:55)
https://ascii.jp/elem/000/001/809/1809410/

◆EU、中国ハッカー集団への対抗策を検討-英が情報提供と関係者 (Bloomberg, 2019/02/12 10:29)
https://www.bloomberg.co.jp/news/articles/2019-02-12/PMSF6P6JTSTG01?srnd=cojp-v2

◆Secureworks、ANELで日本を標的に攻撃するグループの調査報告 (マイナビニュース, 2019/02/20 13:41)
https://news.mynavi.jp/article/20190220-774533/

◆企業情報窃取狙うサイバー攻撃に注意 (リスク対策.com, 2019/05/08)

マクニカネットワークス報告、主に中国から

https://www.risktaisaku.com/articles/-/17183

◆New APT10 Activity Detected in Southeast Asia (SecurityWeek, 2019/05/28)

Researchers have detected what they believe to be new activity from Chinese cyber espionage group, APT10. The activity surfaced in the Philippines and shares similar tactics, techniques, and procedures (TTPs) and code associated with APT10.

https://www.securityweek.com/new-apt10-activity-detected-southeast-asia
https://malware-log.hatenablog.com/entry/2019/05/28/000000_4

◆日本も狙う「APT10」にあらたな動き - 一見問題ない実行ファイルから攻撃展開 (Security NEXT, 2019/05/29)
http://www.security-next.com/105283
https://malware-log.hatenablog.com/entry/2019/05/29/000000_8

◆世界の通信会社10社以上にサイバー攻撃、中国に関与の疑い (ZDNet, 209/06/26 07:18)
https://japan.zdnet.com/article/35139011/
https://malware-log.hatenablog.com/entry/2019/06/26/000000_10

◆Exclusive: China hacked eight major computer services firms in years-long attack (ロイター, 2019/06/26 20:04)
https://www.reuters.com/article/us-china-cyber-cloudhopper-companies-exc/exclusive-china-hacked-eight-major-computer-services-firms-in-years-long-attack-idUSKCN1TR1D4
https://malware-log.hatenablog.com/entry/2019/06/26/000000_5

◆Special Report: Inside the West’s failed fight against China’s ‘Cloud Hopper’ hackers (ロイター, 2019/06/26 20:04)
https://www.reuters.com/article/us-china-cyber-cloudhopper-special-repor/special-report-inside-the-wests-failed-fight-against-chinas-cloud-hopper-hackers-idUSKCN1TR1DK
https://malware-log.hatenablog.com/entry/2019/06/26/000000_4

◆中国、富士通やNTTデータにも不正侵入 大規模サイバー攻撃 (ロイター, 2019/06/27 01:28)
https://jp.reuters.com/article/china-cyber-cloudhopper-companies-idJPKCN1TR2I2
https://malware-log.hatenablog.com/entry/2019/06/27/000000

◆世界が注視する中国のハッカー集団「APT10」とは… (テレ朝, 2019/06/27 16:00)
https://news.tv-asahi.co.jp/news_international/articles/000158125.html
https://malware-log.hatenablog.com/entry/2019/06/27/000000_3

◆特別リポート:中国クラウドホッパー攻撃、西側敗北の裏事情 (ロイター, 2019/06/28 17:25)
https://jp.reuters.com/article/china-cyber-cloudhopper-idJPKCN1TT114?il=0
https://malware-log.hatenablog.com/entry/2019/06/28/000000_3

◆中国のサイバー犯罪組織「APT10」、今度はベトナムやマレーシアの医療関連施設を標的に (Internet Watch, 2019/10/11 18:21)
https://internet.watch.impress.co.jp/docs/news/1212441.html
https://malware-log.hatenablog.com/entry/2019/10/11/000000


【ブログ】

◆APT10 - Operation Cloud Hopper (BAE, 2017/04/04)
http://www.baesystems.com/en/cybersecurity/blog/apt10-operation-cloud-hopper

◆過去最大規模のサイバー諜報活動「Operation Cloud Hopper」、日本も標的に (Trendmicro, 2017/04/13)
http://blog.trendmicro.co.jp/archives/14690
http://malware-log.hatenablog.com/entry/2017/04/13/000000_6

◆ChessMaster Adds Updated Tools to Its Arsenal (Trendmicro, 2018/03/29)
https://blog.trendmicro.com/trendlabs-security-intelligence/chessmaster-adds-updated-tools-to-its-arsenal/
http://malware-log.hatenablog.com/entry/2018/03/29/000000_16

◆日本を狙う標的型サイバー攻撃キャンペーン「ChessMaster」、4月に確認された最新攻撃手法を解説 (Trendmicro, 2018/04/17)
http://blog.trendmicro.co.jp/archives/17280
http://malware-log.hatenablog.com/entry/2018/04/17/000000_3

◆APT10 was managed by the Tianjin bureau of the Chinese Ministry of State Security (Intrusiontruth, 2018/08/15)
https://intrusiontruth.wordpress.com/2018/08/15/apt10-was-managed-by-the-tianjin-bureau-of-the-chinese-ministry-of-state-security/
http://malware-log.hatenablog.com/entry/2018/08/15/000000_8

◆APT10 Targeting Japanese Corporations Using Updated TTPs (FireEye, 2018/09/13)
https://www.fireeye.com/blog/threat-research/2018/09/apt10-targeting-japanese-corporations-using-updated-ttps.html
http://malware-log.hatenablog.com/entry/2018/09/13/000000_7

◆中国の「APT10」が最新のTTP(戦術、技術、および手順)を用い、日本企業を標的に (FireEye, 2018/09/18)
https://www.fireeye.com/blog/jp-threat-research/2018/09/apt10-targeting-japanese-corporations-using-updated-ttps.html
http://malware-log.hatenablog.com/entry/2018/09/18/000000_9

◆APT10 Targeted Norwegian MSP and US Companies in Sustained Campaign (Record Future, 2019/02/06)
https://www.recordedfuture.com/apt10-cyberespionage-campaign/
https://malware-log.hatenablog.com/entry/2019/02/06/000000_3

◆Uncovering New Activity By APT10 (Ensilo, 2019/05/24)
https://blog.ensilo.com/uncovering-new-activity-by-apt10
https://malware-log.hatenablog.com/entry/2019/05/24/000000_6

◆OPERATION SOFT CELL: A WORLDWIDE CAMPAIGN AGAINST TELECOMMUNICATIONS PROVIDERS (Cybereason, 2019/06/25)
https://www.cybereason.com/blog/operation-soft-cell-a-worldwide-campaign-against-telecommunications-providers
https://malware-log.hatenablog.com/entry/2019/06/25/000000_5

【公開情報】

◆APT10 Targeted Norwegian MSP and US Companies in Sustained Campaign (Recorded Future)

Intrusions Highlight Ongoing Exposure of Third-Party Risk

https://go.recordedfuture.com/hubfs/reports/cta-2019-0206.pdf

Operation Cloud Hopper

【公開情報】

◆POISON IVY: Assessing Damage and Extracting Intelligence (FireEye)
http://www.fireeye.com/resources/pdfs/fireeye-poison-ivy-report.pdf

◆Operation Cloud Hopper(クラウドホッパー作戦) (PWC)
https://www.pwc.com/jp/ja/knowledge/thoughtleadership/operation-cloud-hopper.html
http://malware-log.hatenablog.com/entry/2017/04/04/000000_6

◆Uncovering a new sustained global cyber espionage campaign (PWC)
http://www.pwc.co.uk/issues/cyber-security-data-privacy/insights/operation-cloud-hopper.html

◆Operation Cloud Hopper - Indicators of Compromise v3.csv (janhenrikdotcom, 2017/04/06)
https://github.com/janhenrikdotcom/iocs/blob/master/APT10/Operation%20Cloud%20Hopper%20-%20Indicators%20of%20Compromise%20v3.csv


【資料】

◆Operation Cloud Hopper(クラウドホッパー作戦)[日本語版] (PWC)
https://www.pwc.com/jp/ja/japan-service/cyber-security/assets/pdf/operation-cloud-hopper.pdf

◆Operation Cloud Hopper[English] (PWC)
http://www.pwc.co.uk/cyber-security/pdf/cloud-hopper-report-final-v4.pdf

◆Annex A:Indicators of Compromise[English] (PWC)
https://www.pwc.com/jp/ja/knowledge/thoughtleadership/operation-cloud-hopper.html

◆Annex B:Technical Annex[English] (PWC)
http://www.pwc.co.uk/cyber-security/pdf/cloud-hopper-annex-b-final.pdf


【関連情報】

f:id:tanigawa:20190216203559p:plain
2018年8月から2019年1月の間のAPT10活動の将来の予定を記録した
出典: https://www.recordedfuture.com/apt10-cyberespionage-campaign/


【IoC情報】

◆Poison Ivy (IoC (TT Malware Log)
https://ioc.hatenablog.com/archive/2017/02/23

◆PlugX (IoC (TT Malware Log)
https://ioc.hatenablog.com/entry/2017/02/23/000000_1

◆ChChes (IoC (TT Malware Log)
https://ioc.hatenablog.com/entry/2017/02/23/000000_2

関連情報

【関連まとめ記事】

全体まとめ
 ◆攻撃組織 / Actor (まとめ)

◆標的型攻撃組織 / APT (まとめ)
https://malware-log.hatenablog.com/entry/APT


【関連まとめ記事】

◆ANEL (まとめ)
http://malware-log.hatenablog.com/entry/ANEL

◆ChChes (まとめ)
http://malware-log.hatenablog.com/entry/ChChes

◆Cloud Hopper (まとめ)
http://malware-log.hatenablog.com/entry/Cloud_Hopper

【インディケータ情報】

■ハッシュ情報(MD5)

20f0dde824193a7367b9fd36ff998908
8f6d35989ee1d8adbdc120b1fe5671ef
36cb01a7c598ed2048a0eed95c14d5da

(以上は PWCの情報。 引用元は https://www.pwc.co.uk/issues/cyber-security-data-privacy/insights/operation-cloud-hopper.html)


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2019