概要
【要点】
◆中国の標的型攻撃組織
【別名】
組織名 | 命名組織 |
---|---|
APT12 | FireEye(Mandiant) |
Numbered Panda | CrowdStrike |
IXESHE | Trendmicro |
BeeBus | FireEye |
Calc Team | Symantec |
DNSCalc | Total Defense |
DynCalc | |
Crimson Iron | ThreatConnect |
JOY RAT | |
Etumbot | |
TG-2754 | SecureWorks |
Group 22 | Talos |
【概要】
攻撃種別 | 標的型攻撃 |
---|---|
キャンペーン名 | IXESHE |
使用脆弱性 | CVE-2012-0158 |
攻撃方法 | 標的型攻撃メール(正規アカウントから) |
標的業種 | ジャーナリスト、官公庁、防衛関連組織 |
推定国 | 中国 |
■使用マルウェア
使用マルウェア | 備考 |
---|---|
RIPTIDE | |
HIGHTIDE | |
THREEBYTE | |
WATERSPOUT | |
Ixeshe |
【辞書】
◆Group: APT12, IXESHE, ... (ATT&CK)
https://attack.mitre.org/wiki/Group/G0005
◆APT12 (FireEye)
https://www.fireeye.jp/current-threats/apt-groups.html#apt12
◆Numbered Panda (Wikipedia)
https://en.wikipedia.org/wiki/Numbered_Panda
◆IXESHE (Malpedia)
https://malpedia.caad.fkie.fraunhofer.de/actor/ixeshe
記事
【ニュース】
◆The Chinese hacker group that hit the N.Y. Times is back with updated tools (COMPUTERWORLD, 2013/08/12)
The APT 12 hacker group has updated its malware programs to evade network-level detection, researchers from FireEye said
https://www.computerworld.com/article/2483567/cybercrime-hacking/the-chinese-hacker-group-that-hit-the-n-y--times-is-back-with-updated-tools.html
⇒ http://malware-log.hatenablog.com/entry/2013/08/12/000000
◆Analysis of DHS NCCIC Indicators (SecureWorks, 2014/02/14)
https://www.secureworks.com/research/analysis-of-dhs-nccic-indicators
⇒ http://malware-log.hatenablog.com/entry/2014/02/14/000000_1
◆Analysis of the Etumbot APT Backdoor Released (Tripwire, 2014/06/11)
https://www.tripwire.com/state-of-security/latest-security-news/analysis-of-the-etumbot-apt-backdoor-released/
⇒ http://malware-log.hatenablog.com/entry/2014/06/11/000000_1
◆進化を続ける中国拠点のサイバー攻撃、グループ間で連携、発覚後は迅速に対応 (クラウドwatch, 2014/09/19 16:10)
http://cloud.watch.impress.co.jp/docs/news/667631.html
⇒ http://malware-log.hatenablog.com/entry/2014/09/19/000000_4
◆ファイア・アイ、日本企業を狙う攻撃キャンペーンを説明 (ASCII.jp, 2014/09/22)
http://ascii.jp/elem/000/000/935/935777/
⇒ http://malware-log.hatenablog.com/entry/2014-09-22/000000
◆中国の異なるサイバー攻撃グループが連携、日本などアジアにサイバー攻撃(ファイア・アイ) (NetSecurity, 2014/09/22)
http://scan.netsecurity.ne.jp/article/2014/09/22/34864.htm
⇒ http://malware-log.hatenablog.com/entry/2014-09-22/000000
◆日本を取り巻くサイバー攻撃者の動静--スパイやテロへの備え (ZDNET, 2017/09/19 05:00)
https://japan.zdnet.com/article/35107307/
⇒ http://malware-log.hatenablog.com/entry/2017/09/19/000000_8
◆中国サイバー攻撃の標的は米国から日本に変更--ファイア・アイが警告 (ZDNet, 2017/09/25 07:00)
https://japan.zdnet.com/article/35104686/
⇒ http://malware-log.hatenablog.com/entry/2017/09/25/000000_6
【ブログ】
◆Taking a Bite Out of IXESHE (Trendmicro, 2012/05/29)
http://blog.trendmicro.com/trendlabs-security-intelligence/taking-a-bite-out-of-ixeshe/
⇒ http://malware-log.hatenablog.com/entry/2012/05/29/000000_2
◆持続的標的型攻撃「IXESHE」の全貌 – リサーチペーパー公開 (Trendmicro, 2012/05/30)
http://blog.trendmicro.co.jp/archives/5293
⇒ http://malware-log.hatenablog.com/entry/2012/05/30/000000_1
◆Whois Numbered Panda (Croudskrike, 2013/03/29)
https://www.crowdstrike.com/blog/whois-numbered-panda/
⇒ http://malware-log.hatenablog.com/entry/2013/03/29/000000_1
◆Darwin’s Favorite APT Group (FireEye, 2014/09/03)
https://www.fireeye.com/blog/threat-research/2014/09/darwins-favorite-apt-group-2.html
⇒ http://malware-log.hatenablog.com/entry/2014/09/03/000000_1
◆米国ユーザを狙う「IHEATE」、標的型サイバー攻撃キャンペーン「IXESHE」に関連 (Trendmicro, 2016/06/13)
http://blog.trendmicro.co.jp/archives/13447
⇒ http://malware-log.hatenablog.com/entry/2016/06/13/000000
【公開情報】
◆The Italian Connection: An analysis of exploit supply chains and digital quartermasters (ShadowServer)
http://www.securebinary.co.za/mabiribobi/uploads/2015/08/The-Italian-Connection-An-analysis-of-exploit-supply-chains-and-digital-quartermasters.pdf
⇒ http://malware-log.hatenablog.com/entry/2015/07/05/000000_1
【IoC情報】
◆APT12の攻撃に使用されたマルウェアのIOC (FireEye, 2014/10/28)
https://github.com/fireeye/iocs/blob/master/APT12/2384c8ce-6eca-4d06-8aa4-151b53d9a6bc.ioc
【資料】
◆『持続的標的型攻撃キャンペーン「IXESHE」の全貌』(Trendmicro, 2012/05/30)
https://inet.trendmicro.co.jp/doc_dl/select.asp?type=1&cid=81
⇒ http://malware-log.hatenablog.com/entry/2012/05/30/000000_1
◆ASERT Threat Intelligence Brief 2014-07 (Arbor, 2014/06)
https://www.arbornetworks.com/blog/asert/wp-content/uploads/2014/06/ASERT-Threat-Intelligence-Brief-2014-07-Illuminating-Etumbot-APT.pdf
⇒ http://malware-log.hatenablog.com/entry/2014/06/01/000000_2
◆APTマルウェアに⾒る不易流⾏ (Macnica Networks, 2018/01/25)
https://www.jpcert.or.jp/present/2018/JSAC2018_09_yanagishita-takeuchi.pdf
⇒ http://malware-log.hatenablog.com/entry/2018/01/25/000000_7
【図表】
2017年5月~9月に日本でサイバー攻撃の標的にされた業種の内訳
出典: https://japan.zdnet.com/article/35107307/
関連情報
【関連まとめ記事】
◆標的型攻撃組織 / APT (まとめ)
https://malware-log.hatenablog.com/entry/APT
【インディケータ情報】
■ハッシュ情報(MD5)
73f493f6a2b0da23a79b50765c164e88
eaa6e03d9dae356481215e3a9d2914dc
06da4eb2ab6412c0dc7f295920eb61c4
53baedf3765e27fb465057c48387c9b6
e009b95ff7b69cbbebc538b2c5728b11
16e627dbe730488b1c3d448bfc9096e2
499bec15ac83f2c8998f03917b63652e
f9cfda6062a8ac9e332186a7ec0e706a
4ab6bf7e6796bb930be2dd0141128d06
f6fafb7c30b1114befc93f39d0698560
00a95fb30be2d6271c491545f6c6a707
dcfaa2650d29ec1bd88e262d11d3236f
【マルウェア情報】
■APT12
MD5: f6fafb7c30b1114befc93f39d0698560
SHA1: 7430743f4e6b48a334d9c8ba541cece48d44fc9c
SHA256: 7144eaf8bbec1629b600087956b0943dde7d49a5b265865b16164d06d57a9155
SHA512:
SSDEEP: 3072:EslNBID25TykosDD90kz//uRi/pp17nLn4/bxq:EUNr3zXuqp9Ox
authentihash:
imphash:
File Size: 168378 bytes
File Type: MS Word Document
作成日時: 2012/11/23 05:35:00
File Name: 0824.1.doc
File Path:
利用脆弱性: CVE2012-0158
https://www.virustotal.com/ja/file/7144eaf8bbec1629b600087956b0943dde7d49a5b265865b16164d06d57a9155/analysis/
https://totalhash.cymru.com/analysis/?7430743f4e6b48a334d9c8ba541cece48d44fc9c
https://cryptam.com/docsearch.php?sha256=7144eaf8bbec1629b600087956b0943dde7d49a5b265865b16164d06d57a9155
http://securitybloggersnetwork.com/author/ned-moran/
■APT12
MD5: 6e59861931fa2796ee107dc27bfdd480
SHA1: 9a8b19a954bc4e3bbea569651c4ff14d7c973692
SHA256: 3cd6ad651257f66e9a68d9c89f14666941886e4251983fe7f9bff898b435827e
SHA512:
SSDEEP: 1536:g1Tn3aHGcQJW0jFyiLdalkBEVGF8k3xL83vX4:42AjFyi5aS19J8fX
authentihash: 9c131d2dd3054c9be76acb3ff5c3310515e9afb8b635b06fe77fea6c2dd2155c
imphash: ead55ef2b18a80c00786c25211981570
File Size: 75264 bytes
File Type: PE32 executable for MS Windows (GUI) Intel 80386 32-bit
コンパイル日時: 2014/08/23 08:22:49
File Name:
File Path:
通信先:
- http://141.108.2.157/?
- 4ETcFBLxM3gkFkwq~pTIruQV~5DMwm42aos~p9aDQs1dgjN1SIfQr7u5mSkCA9g3iIzdifQMLJ8YnZCU5_PUSP7Ar5VqQ68nqm1181m9z7GJzv7x4HTFQuHX04lvXMgr~wvV2teSYYcPsJ1Z51jn8uXTxbhEMJ7iAoWP115Ca9HgLRELGrNZffarO2pK1ZmPmHib_Ehpf~fUvpmzki7P98ggmQuru9yqk7llRTRVmXlUQ2X9Vqp0mLzJISQHQfg--
- http://141.108.2.157/?6VD4HBr5O3AsEGpGMoF5QQROg17j4edGvjQ--
- http://141.108.2.157/?44UEFBLxM3gkB
- http://141.108.2.157/?5a1YEBb1N3wgA
- http://141.108.2.157/?4BWUFBLxM3gkB
- http://141.108.2.157/?9l2cICbFB0wQM
- http://141.108.2.157/?5PnkEBb1N3wgA
- http://141.108.2.157/?6yI8HBr5O3AsD
- http://141.108.2.157/?3YpQCA7tL2Q4G
- http://141.108.2.157/?9460ICbFB0wQM
参考資料: