TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究・参照ログ

APT3 / Gothic Panda (まとめ)

攻撃組織: APT3 / UPS / Gothic Panda / Clandestine Fox / TG-0110 / Buckeye / Group 6 / Boyusec / Templar *標的型攻撃 / APT / Cyber Espionage / スピアフィッシング 脆弱性: CVE-2014-4113 脆弱性: CVE-2014-6332 Operation: Clandestine Wolf Operation: Clandestine Fox Operation: Double Tap 防御技術: ASLR **攻撃組織(まとめ) **まとめ *アンチアナリシス機能

【辞書】

◆APT3 (ATT&CK)
https://attack.mitre.org/groups/G0022/

◆APT group: APT 3, Gothic Panda, Buckeye (ThaiCERT)
https://apt.thaicert.or.th/cgi-bin/showcard.cgi?g=APT%203%2C%20Gothic%20Panda%2C%20Buckeye&n=1


【名称】

組織名称 使用組織
APT3 FireEye(Mandiant)
UPS (Team) Symantec
Gothic Panda CrowdStrike
Clandestine Fox
TG-0110 Secureworks
Threat Group-0110 Secureworks
Bronze Mayfair SecureWorks
Buckeye Symantec
Group 6 Talos(Cisco)
Boyusec
Pirpi PWC
Templar
Oldcarp iDefense
Silvercarp iDefense


【攻撃作戦】

作戦名(Operation Name) 備考
Operation Clandestine Wolf
Operation Clandestine Fox
Operation Double Tap


【使用ツール】

ツール名 報告者
Shotput
Pirpi
PlugX/Sogu
Kaba
Cookie Cutter
SportLoader


【概要】

項目 内容
背景国家 中国
活動期間 2007 ~ 2017/11
関連企業 広州博御信息技術有限公司(Boyusec)
攻撃対象国 ベルギー, 香港, イタリア, ルクセンブルグ, フィリピン, スウェーデン, 英国, 米国, ベトナム
攻撃対象業種 航空宇宙、建設、土木、防衛、ハイテク、製造、技術、通信、運輸


■攻撃組織の特徴

  • APT3は特に危険な標的型攻撃を行うグループ
  • APT3は、航空宇宙・防衛、建設・土木、ハイテク、通信、運輸といった業種を標的にしている


■攻撃手法

  • 今回URLをクリックすると、JavaScriptのプロファイルスクリプトが仕込まれた感染サーバーへといったんリダイレクト
  • Adobe Flash Playerの脆弱性「CVE-2015-3113」を使用


■アンチフォレンジック手法

  • 一般的なベクトル破壊手法を用いてアドレス空間配置のランダム化(ASLR)機能を迂回
  • ROPを用いてデータ実行防止(DEP)機能を迂回
  • 一定のROP検知手法も回避
  • ペイロードはXORで暗号化
  • ペイロードは画像内に隠蔽
  • RC4パッカーでパック
  • RC4の鍵と暗号データは、BinaryDataブロブに格納
  • ActionScript3内で自らのクラスを定義


■メンバー(3名)

氏名 備考
Wu Yingzhuo(呉穎卓) Boyusecの株主
Dong Hao(董浩) Boyusecの株主


【ニュース】

◆Operation Double Tap (FireEye, 2014/11/21)
https://www.fireeye.com/blog/threat-research/2014/11/operation_doubletap.html
https://malware-log.hatenablog.com/entry/2014/11/21/000000_1

◆Zero-day hacking group resorts to UNICORN SMUT-SLINGING (The Register, 2014/11/26)
http://www.theregister.co.uk/2014/11/26/zeroday_group_degenerates_into_unicorn_smut_slinging/
https://malware-log.hatenablog.com/entry/2014/11/26/000000_1

◆Flashへのゼロデイ攻撃、中国のグループが多方面に展開 (Security NEXT, 2015/06/24)
http://www.security-next.com/059845
https://malware-log.hatenablog.com/entry/2015/06/24/000000_3

◆Adobe Flash Playerを狙ったゼロデイ攻撃、中国のサイバー犯罪者が主導? (マイナビニュース, 2015/07/03)
http://news.mynavi.jp/news/2015/07/03/626/
https://malware-log.hatenablog.com/entry/2015/07/03/000000_2

◆中国系サイバースパイ、香港政府機関にハッカー攻撃-ファイア・アイ (Bloomberg, 2016/09/02 15:53)
https://www.bloomberg.co.jp/news/articles/2016-09-02/OCV4H16TTDSW01
https://malware-log.hatenablog.com/entry/2016/09/02/000000_1

◆Mainland Chinese hackers attack Hong Kong government departments: Security firm (StraitsTimes, 2016/09/02)
https://www.straitstimes.com/asia/east-asia/mainland-chinese-hackers-attack-hong-kong-government-departments-security-firm
https://malware-log.hatenablog.com/entry/2016/09/02/000000_2

◆Buckeye cyberespionage group shifts gaze from US to Hong Kong (Symantec, 2016/09/06)
https://www.symantec.com/connect/blogs/buckeye-cyberespionage-group-shifts-gaze-us-hong-kong
https://malware-log.hatenablog.com/entry/2016/09/06/000000_1

◆APT3 Linked to Chinese Ministry of State Security (threatpost, 2017/05/17)
https://threatpost.com/apt3-linked-to-chinese-ministry-of-state-security/125750/
https://malware-log.hatenablog.com/entry/2017/05/17/000000_14

◆APT3 Hackers Linked to Chinese Ministry of State Security (SecurityWeek, 2017/05/17)
http://www.securityweek.com/apt3-hackers-linked-chinese-ministry-state-security
https://malware-log.hatenablog.com/entry/2017/05/17/000000_15

◆中国サイバー攻撃に民間企業協力 (世界日報, 2017/06/08)
http://www.worldtimes.co.jp/column/78349.html
https://malware-log.hatenablog.com/entry/2017/06/08/000000

◆アメリカの司法省が中国人ハッカー3人を刑事告訴へ (忙しい人のためのサイバーセキュリティニュース, 2017/11/28)
https://nanashi0x.hatenablog.com/entry/2017/11/28/205813
https://malware-log.hatenablog.com/entry/2017/11/28/000000_9

◆サイバー攻撃巡る米国の中国人起訴、渦中の企業は今月解散 (WSJ, 2017/11/29 02:14)
https://jp.wsj.com/articles/SB11262786849451594133504583543663182650422
https://malware-log.hatenablog.com/entry/2017/11/29/000000_8

◆中国サイバー攻撃集団を暴く謎の組織「Intrusion Truth」 (大紀元, 2018/10/04 15:46)
https://www.epochtimes.jp/p/2018/10/36767.html
https://malware-log.hatenablog.com/entry/2018/10/04/000000_6

◆「中国政府系」ハッカーを追い詰める「謎の集団」の正体に迫る (Forsight, 2018/10/17)
https://www.fsight.jp/articles/-/44352
https://malware-log.hatenablog.com/entry/2018/10/17/000000


【ブログ】

◆「Operation Clandestine Wolf」 APT3のフィッシング・キャンペーンで Adobe Flash Playerのゼロデイ攻撃を特定 (FireEye, 2015/06/23)
https://www.fireeye.jp/company/press-releases/2015/operation-clandestine-wolf-adobe-flash-zero-day-in-apt3-phishing-campaign.html
https://malware-log.hatenablog.com/entry/2015/06/23/000000_1

◆Operation Clandestine Wolf – Adobe Flash Zero-Day in APT3 Phishing Campaign (FireEye, 2015/06/23)
https://www.fireeye.com/blog/threat-research/2015/06/operation-clandestine-wolf-adobe-flash-zero-day.html
https://malware-log.hatenablog.com/entry/2015/06/23/000000_1

◆A tale of Pirpi, Scanbox & CVE-2015-3113 (PWC, 2015/07/23)
http://pwc.blogs.com/cyber_security_updates/2015/07/pirpi-scanbox.html
https://malware-log.hatenablog.com/entry/2015/07/23/000000_1

◆UPS: Observations on CVE-2015-3113, Prior Zero-Days and the Pirpi Payload (paloalto, 2015/07/27 13:50)
https://researchcenter.paloaltonetworks.com/2015/07/ups-observations-on-cve-2015-3113-prior-zero-days-and-the-pirpi-payload/
https://malware-log.hatenablog.com/entry/2015/07/27/000000_2

◆悪名高いサイバースパイ集団APT3、中国政府から受注する企業と関連か? (ごった日記, 2017/05/30)
http://mokake.hatenablog.com/entry/2017/05/30/193207
https://malware-log.hatenablog.com/entry/2017/05/30/000000_3

◆INTRO TO THE GOTHIC PANDA APT GROUP (Cybereason, 2017/06/13)
https://www.cybereason.com/blog/intro-to-the-gothic-panda-apt-group
https://malware-log.hatenablog.com/archive/2017/06/13

◆The destruction of APT3 (Intrusiontruth, 2018/05/22)
https://intrusiontruth.wordpress.com/2018/05/22/the-destruction-of-apt3/
https://malware-log.hatenablog.com/entry/2018/05/22/000000_3

【公開情報】

◆The Italian Connection: An analysis of exploit supply chains and digital quartermasters (ShadowServer)
http://www.securebinary.co.za/mabiribobi/uploads/2015/08/The-Italian-Connection-An-analysis-of-exploit-supply-chains-and-digital-quartermasters.pdf
https://malware-log.hatenablog.com/entry/2015/07/05/000000_1

◆APT Group UPS Targets US Government with Hacking Team Flash Exploit (paloalto, 2015/07/10)
https://researchcenter.paloaltonetworks.com/2015/07/apt-group-ups-targets-us-government-with-hacking-team-flash-exploit/
https://malware-log.hatenablog.com/entry/2015/07/10/000000_1

◆APT 攻撃グループのUPS、伊企業のHacking Teamの攻撃に使われたFlashの脆弱性を利用し米国政府を標的に (paloalto, 2015/07/11)
https://www.paloaltonetworks.jp/company/in-the-news/2015/apt-group-ups-targets-us-government-with-hacking-team-flash-exploit
https://malware-log.hatenablog.com/entry/2015/07/11/000000


【資料】

◆告訴状 (アメリカ司法省, 2017/09/13)
https://www.documentcloud.org/documents/4310946-Wu-Yingzhou-Et-Al-Indictment.html
https://malware-log.hatenablog.com/entry/2017/11/28/000000_9


【関連まとめ記事】

全体まとめ
 ◆攻撃組織 / Actor (まとめ)

◆標的型攻撃組織 / APT (まとめ)
https://malware-log.hatenablog.com/entry/APT

Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2023