TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究ログ

APT12 (まとめ)

概要

【要点】

◆中国の標的型攻撃組織


【別名】

組織名 呼称組織
APT12 FireEye(Mandiant)
Numbered Panda CrowdStrike
IXESHE Trendmicro
BeeBus FireEye
Calc Team Symantec
DNSCalc Total Defense
DynCalc
Crimson Iron ThreatConnect
JOY RAT
Etumbot
TG-2754 SecureWorks
Group 22 Talos

【概要】

攻撃種別 標的型攻撃
キャンペーン名 IXESHE
使用脆弱性 CVE-2012-0158
攻撃方法 標的型攻撃メール(正規アカウントから)
標的業種 ジャーナリスト、官公庁、防衛関連組織
推定国 中国

■使用マルウェア

使用マルウェア 備考
RIPTIDE
HIGHTIDE
THREEBYTE
WATERSPOUT
Ixeshe


【辞書】

◆Group: APT12, IXESHE, ... (ATT&CK)
https://attack.mitre.org/wiki/Group/G0005

◆APT12 (FireEye)
https://www.fireeye.jp/current-threats/apt-groups.html#apt12

◆Numbered Panda (Wikipedia)
https://en.wikipedia.org/wiki/Numbered_Panda

◆IXESHE (Malpedia)
https://malpedia.caad.fkie.fraunhofer.de/actor/ixeshe

記事


【ニュース】

◆The Chinese hacker group that hit the N.Y. Times is back with updated tools (COMPUTERWORLD, 2013/08/12)
The APT 12 hacker group has updated its malware programs to evade network-level detection, researchers from FireEye said
https://www.computerworld.com/article/2483567/cybercrime-hacking/the-chinese-hacker-group-that-hit-the-n-y--times-is-back-with-updated-tools.html
http://malware-log.hatenablog.com/entry/2013/08/12/000000

◆Analysis of DHS NCCIC Indicators (SecureWorks, 2014/02/14)
https://www.secureworks.com/research/analysis-of-dhs-nccic-indicators
http://malware-log.hatenablog.com/entry/2014/02/14/000000_1

◆Analysis of the Etumbot APT Backdoor Released (Tripwire, 2014/06/11)
https://www.tripwire.com/state-of-security/latest-security-news/analysis-of-the-etumbot-apt-backdoor-released/
http://malware-log.hatenablog.com/entry/2014/06/11/000000_1

◆進化を続ける中国拠点のサイバー攻撃、グループ間で連携、発覚後は迅速に対応 (クラウドwatch, 2014/09/19 16:10)
http://cloud.watch.impress.co.jp/docs/news/667631.html
http://malware-log.hatenablog.com/entry/2014/09/19/000000_4

◆ファイア・アイ、日本企業を狙う攻撃キャンペーンを説明 (ASCII.jp, 2014/09/22)
http://ascii.jp/elem/000/000/935/935777/
http://malware-log.hatenablog.com/entry/2014-09-22/000000

◆中国の異なるサイバー攻撃グループが連携、日本などアジアにサイバー攻撃(ファイア・アイ) (NetSecurity, 2014/09/22)
http://scan.netsecurity.ne.jp/article/2014/09/22/34864.htm
http://malware-log.hatenablog.com/entry/2014-09-22/000000

◆日本を取り巻くサイバー攻撃者の動静--スパイやテロへの備え (ZDNET, 2017/09/19 05:00)
https://japan.zdnet.com/article/35107307/
http://malware-log.hatenablog.com/entry/2017/09/19/000000_8

◆中国サイバー攻撃の標的は米国から日本に変更--ファイア・アイが警告 (ZDNet, 2017/09/25 07:00)
https://japan.zdnet.com/article/35104686/
http://malware-log.hatenablog.com/entry/2017/09/25/000000_6


【ブログ】

◆Taking a Bite Out of IXESHE (Trendmicro, 2012/05/29)
http://blog.trendmicro.com/trendlabs-security-intelligence/taking-a-bite-out-of-ixeshe/
http://malware-log.hatenablog.com/entry/2012/05/29/000000_2

◆持続的標的型攻撃「IXESHE」の全貌 – リサーチペーパー公開 (Trendmicro, 2012/05/30)
http://blog.trendmicro.co.jp/archives/5293
http://malware-log.hatenablog.com/entry/2012/05/30/000000_1

◆Whois Numbered Panda (Croudskrike, 2013/03/29)
https://www.crowdstrike.com/blog/whois-numbered-panda/
http://malware-log.hatenablog.com/entry/2013/03/29/000000_1

◆Darwin’s Favorite APT Group (FireEye, 2014/09/03)
https://www.fireeye.com/blog/threat-research/2014/09/darwins-favorite-apt-group-2.html
http://malware-log.hatenablog.com/entry/2014/09/03/000000_1

◆米国ユーザを狙う「IHEATE」、標的型サイバー攻撃キャンペーン「IXESHE」に関連 (Trendmicro, 2016/06/13)
http://blog.trendmicro.co.jp/archives/13447
http://malware-log.hatenablog.com/entry/2016/06/13/000000


【公開情報】

◆The Italian Connection: An analysis of exploit supply chains and digital quartermasters (ShadowServer)
http://www.securebinary.co.za/mabiribobi/uploads/2015/08/The-Italian-Connection-An-analysis-of-exploit-supply-chains-and-digital-quartermasters.pdf
http://malware-log.hatenablog.com/entry/2015/07/05/000000_1


【IoC情報】

◆APT12の攻撃に使用されたマルウェアのIOC (FireEye, 2014/10/28)
https://github.com/fireeye/iocs/blob/master/APT12/2384c8ce-6eca-4d06-8aa4-151b53d9a6bc.ioc


【資料】

◆『持続的標的型攻撃キャンペーン「IXESHE」の全貌』(Trendmicro, 2012/05/30)
https://inet.trendmicro.co.jp/doc_dl/select.asp?type=1&cid=81
http://malware-log.hatenablog.com/entry/2012/05/30/000000_1

◆ASERT Threat Intelligence Brief 2014-07 (Arbor, 2014/06)
https://www.arbornetworks.com/blog/asert/wp-content/uploads/2014/06/ASERT-Threat-Intelligence-Brief-2014-07-Illuminating-Etumbot-APT.pdf
http://malware-log.hatenablog.com/entry/2014/06/01/000000_2

◆APTマルウェアに⾒る不易流⾏ (Macnica Networks, 2018/01/25)
https://www.jpcert.or.jp/present/2018/JSAC2018_09_yanagishita-takeuchi.pdf
http://malware-log.hatenablog.com/entry/2018/01/25/000000_7


【図表】

f:id:tanigawa:20171118130318j:plain
2017年5月~9月に日本でサイバー攻撃の標的にされた業種の内訳
出典: https://japan.zdnet.com/article/35107307/

関連情報


【関連まとめ記事】

全体まとめ
 ◆攻撃組織 / Actor (まとめ)

◆標的型攻撃組織 / APT (まとめ)
https://malware-log.hatenablog.com/entry/APT

【インディケータ情報】

■ハッシュ情報(MD5)

73f493f6a2b0da23a79b50765c164e88
eaa6e03d9dae356481215e3a9d2914dc
06da4eb2ab6412c0dc7f295920eb61c4
53baedf3765e27fb465057c48387c9b6
e009b95ff7b69cbbebc538b2c5728b11
16e627dbe730488b1c3d448bfc9096e2
499bec15ac83f2c8998f03917b63652e
f9cfda6062a8ac9e332186a7ec0e706a
4ab6bf7e6796bb930be2dd0141128d06
f6fafb7c30b1114befc93f39d0698560
00a95fb30be2d6271c491545f6c6a707
dcfaa2650d29ec1bd88e262d11d3236f


【マルウェア情報】

■APT12

MD5: f6fafb7c30b1114befc93f39d0698560
SHA1: 7430743f4e6b48a334d9c8ba541cece48d44fc9c
SHA256: 7144eaf8bbec1629b600087956b0943dde7d49a5b265865b16164d06d57a9155
SHA512:
SSDEEP: 3072:EslNBID25TykosDD90kz//uRi/pp17nLn4/bxq:EUNr3zXuqp9Ox
authentihash:
imphash:
File Size: 168378 bytes
File Type: MS Word Document
作成日時: 2012/11/23 05:35:00
File Name: 0824.1.doc
File Path:
利用脆弱性: CVE2012-0158
https://www.virustotal.com/ja/file/7144eaf8bbec1629b600087956b0943dde7d49a5b265865b16164d06d57a9155/analysis/
https://totalhash.cymru.com/analysis/?7430743f4e6b48a334d9c8ba541cece48d44fc9c
https://cryptam.com/docsearch.php?sha256=7144eaf8bbec1629b600087956b0943dde7d49a5b265865b16164d06d57a9155
http://securitybloggersnetwork.com/author/ned-moran/


■APT12

MD5: 6e59861931fa2796ee107dc27bfdd480
SHA1: 9a8b19a954bc4e3bbea569651c4ff14d7c973692
SHA256: 3cd6ad651257f66e9a68d9c89f14666941886e4251983fe7f9bff898b435827e
SHA512:
SSDEEP: 1536:g1Tn3aHGcQJW0jFyiLdalkBEVGF8k3xL83vX4:42AjFyi5aS19J8fX
authentihash: 9c131d2dd3054c9be76acb3ff5c3310515e9afb8b635b06fe77fea6c2dd2155c
imphash: ead55ef2b18a80c00786c25211981570
File Size: 75264 bytes
File Type: PE32 executable for MS Windows (GUI) Intel 80386 32-bit
コンパイル日時: 2014/08/23 08:22:49
File Name:
File Path:
通信先:

参考資料:


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2019