TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究ログ

APT3 / Gothic Panda (まとめ)

【辞書】

◆APT3 (ATT&CK)
https://attack.mitre.org/groups/G0022/


【名称】

組織名称 使用組織
APT3 FireEye
UPS (Team) iSight or Symantec (要調査)
Gothic Panda CrowdStrike
Clandestine Fox
TG-0110 Secureworks
Threat Group-0110
Buckeye Symantec
Group 6 Talos(Cisco)
Boyusec
Pirpi PWC
Templar
Oldcarp
Silvercarp


【攻撃作戦】

  • Operation Clandestine Wolf
  • Operation Clandestine Fox
  • Operation Double Tap


【使用ツール】

ツール名 報告者
Shotput
Pirpi
PlugX/Sogu
Kaba
Cookie Cutter
SportLoader


【概要】

■攻撃組織(APT3 / UPS / Gothic Panda / Pirpi / Clandestine Fox / TG-0110)

  • APT3は特に危険な標的型攻撃を行うグループ
  • APT3は、航空宇宙・防衛、建設・土木、ハイテク、通信、運輸といった業種を標的にしている


■攻撃手法

  • 今回URLをクリックすると、JavaScriptのプロファイルスクリプトが仕込まれた感染サーバーへといったんリダイレクト
  • Adobe Flash Playerの脆弱性「CVE-2015-3113」を使用


■アンチフォレンジック解析手法

  • 一般的なベクトル破壊手法を用いてアドレス空間配置のランダム化(ASLR)機能を迂回
  • ROPを用いてデータ実行防止(DEP)機能を迂回
  • 一定のROP検知手法も回避
  • ペイロードはXORで暗号化
  • ペイロードは画像内に隠蔽
  • RC4パッカーでパック
  • RC4の鍵と暗号データは、BinaryDataブロブに格納
  • ActionScript3内で自らのクラスを定義


【ニュース】

◆Operation Double Tap (FireEye, 2014/11/21)
https://www.fireeye.com/blog/threat-research/2014/11/operation_doubletap.html

◆Zero-day hacking group resorts to UNICORN SMUT-SLINGING (The Register, 2014/11/26)
http://www.theregister.co.uk/2014/11/26/zeroday_group_degenerates_into_unicorn_smut_slinging/

◆Flashへのゼロデイ攻撃、中国のグループが多方面に展開 (Security NEXT, 2015/06/24)
http://www.security-next.com/059845

◆Adobe Flash Playerを狙ったゼロデイ攻撃、中国のサイバー犯罪者が主導? (マイナビニュース, 2015/07/03)
http://news.mynavi.jp/news/2015/07/03/626/

◆中国系サイバースパイ、香港政府機関にハッカー攻撃-ファイア・アイ (Bloomberg, 2016/09/02 15:53)
https://www.bloomberg.co.jp/news/articles/2016-09-02/OCV4H16TTDSW01

◆APT3 Linked to Chinese Ministry of State Security (threatpost, 2017/05/17)
https://threatpost.com/apt3-linked-to-chinese-ministry-of-state-security/125750/

◆APT3 Hackers Linked to Chinese Ministry of State Security (SecurityWeek, 2017/05/17)
http://www.securityweek.com/apt3-hackers-linked-chinese-ministry-state-security


【ブログ】

◆A tale of Pirpi, Scanbox & CVE-2015-3113 (PWC, 2015/07/23)
http://pwc.blogs.com/cyber_security_updates/2015/07/pirpi-scanbox.html

◆「Operation Clandestine Wolf」 APT3のフィッシング・キャンペーンで Adobe Flash Playerのゼロデイ攻撃を特定 (FireEye, 2015/06/23)
https://www.fireeye.jp/company/press-releases/2015/operation-clandestine-wolf-adobe-flash-zero-day-in-apt3-phishing-campaign.html

◆Operation Clandestine Wolf – Adobe Flash Zero-Day in APT3 Phishing Campaign (FireEye, 2015/06/23)
https://www.fireeye.com/blog/threat-research/2015/06/operation-clandestine-wolf-adobe-flash-zero-day.html

◆A tale of Pirpi, Scanbox & CVE-2015-3113 (PWC, 2015/07/23)
http://pwc.blogs.com/cyber_security_updates/2015/07/pirpi-scanbox.html

◆UPS: Observations on CVE-2015-3113, Prior Zero-Days and the Pirpi Payload (paloalto, 2015/07/27 13:50)
https://researchcenter.paloaltonetworks.com/2015/07/ups-observations-on-cve-2015-3113-prior-zero-days-and-the-pirpi-payload/

◆悪名高いサイバースパイ集団APT3、中国政府から受注する企業と関連か? (ごった日記, 2017/05/30)
http://mokake.hatenablog.com/entry/2017/05/30/193207


【公開情報】

◆The Italian Connection: An analysis of exploit supply chains and digital quartermasters (ShadowServer)
http://www.securebinary.co.za/mabiribobi/uploads/2015/08/The-Italian-Connection-An-analysis-of-exploit-supply-chains-and-digital-quartermasters.pdf

◆APT Group UPS Targets US Government with Hacking Team Flash Exploit (paloalto, 2015/07/10)
https://researchcenter.paloaltonetworks.com/2015/07/apt-group-ups-targets-us-government-with-hacking-team-flash-exploit/

◆APT 攻撃グループのUPS、伊企業のHacking Teamの攻撃に使われたFlashの脆弱性を利用し米国政府を標的に (paloalto, 2015/07/11)
https://www.paloaltonetworks.jp/company/in-the-news/2015/apt-group-ups-targets-us-government-with-hacking-team-flash-exploit

【インディケータ情報】

■ハッシュ情報(MD5)

5a0c4e1925c76a959ab0588f683ab437
492a839a3bf9c61b7065589a18c5aa8d
744a17a3bc6dbd535f568ef1e87d8b9a
5c08957f05377004376e6a622406f9aa
8849538ef1c3471640230605c2623c67


■ハッシュ情報(Sha256)

a2fe113cc13acac2bb79a375f692b8ba5cc2fa880272adc7ab0d01f839e877ff


■ドメイン情報

rpt.perrydale.com
report.perrydale.com


■IPアドレス情報

194.44.130.179


■URL情報

rpt.perrydale.com/en/show.swf
report.perrydale.com/ema/show.swf
rpt.perrydale.com/en/b.gif
report.perrydale.com/ema/b,gif


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2019