【要点】
◎ベトナムの標的型攻撃組織
【目次】
概要
【別名】
攻撃組織名 | 命名組織 |
---|---|
APT32 | FireEye |
Ocean Lotus | CyberReason |
Cobalt Kitty | |
APT-C-00 | |
SeaLotus | |
Ocean Buffalo | |
Bismuth | Microsoft |
【使用マルウェア】
マルウエア名 | 備考 |
---|---|
SoundBite | |
KerrDown | |
MatalJack |
【辞書】
◆Group: APT32, OceanLotus Group (ATT&CK)
https://attack.mitre.org/wiki/Group/G0050
◆APT32 (Malpedia)
https://malpedia.caad.fkie.fraunhofer.de/actor/apt32
◆APT32 (FireEye)
https://www.fireeye.jp/current-threats/apt-groups.html#apt32
◆APT OceanLotus (APT-C-00) (SkyEye)
https://github.com/kbandla/APTnotes/blob/master/2015/OceanLotusReport.pdf
【最新記事】
◆「Word文書」そっくりの挙動 macOS向けマルウェアの亜種が発見される (ITMedia, 2020/12/01 15:44)
https://www.itmedia.co.jp/enterprise/articles/2012/01/news102.html
⇒ https://malware-log.hatenablog.com/entry/2020/12/01/000000_6
◆Facebook、有名ハッキング集団APT32とベトナム企業の関与を指摘 (ZDNet, 2020/12/14 12:48)
https://japan.zdnet.com/article/35163787/
⇒ https://malware-log.hatenablog.com/entry/2020/12/14/000000
記事
【ニュース】
■2015年
◆中国政府の海事機関を狙う国際的ハッカー組織「OcianLotus」が明るみに (Internet Watch, 2015/06/19 06:00)
http://internet.watch.impress.co.jp/docs/column/m_china/20150619_707728.html
⇒ http://malware-log.hatenablog.com/entry/2015/06/19/000000_1
■2017年
◆Vietnam's APT32 Marks a New Chapter in Cyber-espionage (infosecurity, 2017/05/15)
https://www.infosecurity-magazine.com/news/vietnams-apt32-marks-a-new-chapter/
⇒ http://malware-log.hatenablog.com/entry/2017/05/15/000000_17
◆ランサムウェアが企業にもたらした意外な影響 (ZDNet, 2017/05/18 07:00)
https://japan.zdnet.com/article/35101310/
⇒ http://malware-log.hatenablog.com/entry/2017/05/18/000000_13
<>>
◆Ocean Lotus Group/APT 32 identified as Vietnamese APT group (SCMedia, 2017/05/23)
https://www.scmagazineuk.com/ocean-lotus-groupapt-32-identified-as-vietnamese-apt-group/article/663565/
⇒ http://malware-log.hatenablog.com/entry/2017/05/23/000000_9
◆AN UP-CLOSE VIEW OF THE NOTORIOUS APT32 HACKING GROUP IN ACTION (WIRED, 2017/05/24)
https://www.wired.com/2017/05/close-look-notorious-apt32-hacking-group-action/
⇒ http://malware-log.hatenablog.com/entry/2017/05/24/000000_6
◆WindowsだけでなくMacも標的にしたトロイの木馬型マルウェア「OceanLotus」が流行中。主に中国政府機関が感染? (AAPL Ch., 2017/06/25)
https://applech2.com/archives/44993666.html
⇒ http://malware-log.hatenablog.com/entry/2017/06/25/000000
■2018年
◆ベトナム政府が背後にいる!? ハッカー集団「APT32」の暗躍 (THE ZERO/ONE, 2018/01/15 08:10)
https://the01.jp/p0006390/
⇒ http://malware-log.hatenablog.com/entry/2018/01/15/000000_1
■2019年
◆OceanLotus ATP group uses new Kerrdown downloader to deliver payloads (SCmagazine, 2019/02/01)
https://www.scmagazine.com/home/security-news/oceanlotus-atp-group-uses-new-kerrdown-downloader-to-deliver-payloads/
⇒ https://malware-log.hatenablog.com/entry/2019/02/01/000000_9
◆Word-based Malware Attack (CyStack, 2019/02/02)
https://blog.cystack.net/word-based-malware-attack/
⇒ https://malware-log.hatenablog.com/entry/2019/02/02/000000
◆トヨタの販売子会社に不正アクセス 最大310万件の顧客情報が流出の恐れ (ITmedia, 2019/03/29 18:40)
https://www.itmedia.co.jp/news/articles/1903/29/news133.html
⇒ https://malware-log.hatenablog.com/entry/2019/03/29/000000_3
◆トヨタ、顧客情報310万件流出か 東京の販売会社に不正アクセス (産経新聞, 2019/03/29 20:52)
https://www.sankei.com/affairs/news/190329/afr1903290017-n1.html
⇒ https://malware-log.hatenablog.com/entry/2019/03/29/000000_3
◆Toyota announces second security breach in the last five weeks (ZDNet, 2019/03/29 12:37)
Toyota Japan says hackers might have stolen details of 3.1 million Toyota and Lexus car owners.
https://www.zdnet.com/article/toyota-announces-second-security-breach-in-the-last-five-weeks/
⇒ https://malware-log.hatenablog.com/entry/2019/03/29/000000_19
◆Toyota data breach affects up to 3.1 million customers (CyberScoop, 2019/03/30)
https://www.cyberscoop.com/toyota-data-breach-japan-vietnam/
⇒ https://malware-log.hatenablog.com/entry/2019/03/29/000000_20
◆OceanLotus APT Uses Steganography to Load Backdoors (BleepingComputer, 2019/04/02 13:55)
https://www.bleepingcomputer.com/news/security/oceanlotus-apt-uses-steganography-to-load-backdoors/
⇒ https://malware-log.hatenablog.com/entry/2019/04/02/000000_9
◆マクニカネットワークス、自動車業界を狙った標的型攻撃OceanLotus(APT32)の攻撃手法を公開 (Enterprise Zine, 2019/04/25 15:00)
https://enterprisezine.jp/article/detail/11988
⇒ http://malware-log.hatenablog.com/entry/2019/04/25/000000_2
◆代表アドレスへ履歴書送付、APTグループ「OceanLotus」が日系自動車企業東南アジア拠点攻撃の可能性(マクニカネットワークス) (NetSecurity, 2019/04/26 08:00)
マクニカネットワークスは、ホワイトペーパー「OceanLotus 東南アジア自動車業界への攻撃」を公開した
https://scan.netsecurity.ne.jp/article/2019/04/26/42274.html
⇒ https://malware-log.hatenablog.com/entry/2019/04/26/000000_11
◆トヨタも標的か、ハッカー集団にベトナム政府の影-知財権窃盗関与も (Bloomberg, 2019/12/24 10:31)
https://www.bloomberg.co.jp/news/articles/2019-12-24/Q2ZMEHT1UM0Y01
⇒ https://malware-log.hatenablog.com/entry/2019/12/24/000000_8
■2020年
◆ベトナムのハッカーが中国当局にサイバー攻撃、ウイルス情報を得るためか―仏メディア (RecordChina, 2020/04/25 11:20)
https://www.recordchina.co.jp/b797557-s0-c30-d0062.html
⇒ https://malware-log.hatenablog.com/entry/2020/04/25/000000_1
◆APT攻撃用途の不正アプリ発見、ベトナムが主な標的(カスペルスキー) (NetSecurity, 2020/05/08 09:05)
https://scan.netsecurity.ne.jp/article/2020/05/08/44074.html
⇒ https://malware-log.hatenablog.com/entry/2020/05/08/000000_3
◆カスペルスキーがAndroid標的のスパイウェア「PhantomLance」の調査結果を公開、東南アジアを中心に活動 (ケータイWatch, 2020/05/08 12:48)
https://k-tai.watch.impress.co.jp/docs/news/1251305.html
⇒ https://malware-log.hatenablog.com/entry/2020/05/08/000000_4
◆Kaspersky Reasearch: APT Groups Eye New Platforms, Exploiots in 2Q20 (MSSPAlert, 2020/07/29)
[カスペルスキー・リサーチ APTグループは20年第2四半期に新たなプラットフォームやエクスプロイトに注目]Advanced persistent threat (APT) groups launched a variety of cyberattacks in the second quarter of 2020, research from cybersecurity company Kaspersky shows.
[高度な永続的脅威(APT)グループが2020年の第2四半期にさまざまなサイバー攻撃を開始したことが、サイバーセキュリティ企業のカスペルスキーの調査で明らかになった]https://www.msspalert.com/cybersecurity-research/top-apt-groups-2q2020/
⇒ https://malware-log.hatenablog.com/entry/2020/07/29/000000_8
◆「Word文書」そっくりの挙動 macOS向けマルウェアの亜種が発見される (ITMedia, 2020/12/01 15:44)
https://www.itmedia.co.jp/enterprise/articles/2012/01/news102.html
⇒ https://malware-log.hatenablog.com/entry/2020/12/01/000000_6
◆Facebook、有名ハッキング集団APT32とベトナム企業の関与を指摘 (ZDNet, 2020/12/14 12:48)
https://japan.zdnet.com/article/35163787/
⇒ https://malware-log.hatenablog.com/entry/2020/12/14/000000
【ブログ】
■2015年
◆天眼实验室:OceanLotus(海莲花)APT报告摘要 (奇虎360, 2015/05/29)
http://blogs.360.cn/blog/oceanlotus-apt/
⇒ http://malware-log.hatenablog.com/entry/2015/06/19/000000_1
■2017年
◆Cyber Espionage is Alive and Well: APT32 and the Threat to Global Corporations (FireEye, 2017/05/14)
https://www.fireeye.com/blog/threat-research/2017/05/cyber-espionage-apt32.html
⇒ http://malware-log.hatenablog.com/entry/2017/05/14/000000_8
◆OPERATION COBALT KITTY: A LARGE-SCALE APT IN ASIA CARRIED OUT BY THE OCEANLOTUS GROUP (CyberReason, 2017/05/24)
https://www.cybereason.com/blog/operation-cobalt-kitty-apt
⇒ http://malware-log.hatenablog.com/entry/2017/05/24/000000_8
■2019年
◆Tracking OceanLotus’ new Downloader, KerrDown (Unit42, 2019/02/01 06:00)
https://unit42.paloaltonetworks.com/tracking-oceanlotus-new-downloader-kerrdown/
⇒ https://malware-log.hatenablog.com/entry/2019/02/01/000000_8
◆OceanLotusの新しいダウンローダーKerrDownの追跡 (Paloalto, 2019/02/06 01:00)
https://www.paloaltonetworks.jp/company/in-the-news/2019/tracking-oceanlotus-new-downloader-kerrdown
⇒ http://malware-log.hatenablog.com/entry/2019/02/06/000000_7
■2020年
◆Vietnamese Threat Actors APT32 Targeting Wuhan Government and Chinese Ministry of Emergency Management in Latest Example of COVID-19 Related Espionage (FireEye, 2020/04/22)
https://www.fireeye.com/blog/threat-research/2020/04/apt32-targeting-chinese-government-in-covid-19-related-espionage.html
⇒ https://malware-log.hatenablog.com/entry/2020/04/22/000000_1
◆Hiding in plain sight: PhantomLance walks into a market (Kaspersky, 2020/04/28 15:00)
https://securelist.com/apt-phantomlance/96772/
⇒ https://malware-log.hatenablog.com/entry/2020/04/28/000000_7
【公開情報】
■2017年
◆OPERATION LOTUSBLOSSOM (UNIT42, 2017/10/08)
https://www.paloaltonetworks.com/content/dam/pan/en_US/assets/pdf/reports/Unit_42/operation-lotus-blossom/unit42-operation-lotus-blossom.pdf
⇒ http://malware-log.hatenablog.com/entry/2017/10/08/000000
■2018年
◆APT攻撃者グループ menuPass(APT10) による新たな攻撃を確認 (LAC, 2018/05/21)
https://www.lac.co.jp/lacwatch/people/20180521_001638.html
⇒ http://malware-log.hatenablog.com/entry/2018/05/21/000000_4
■2019年
◆Operation OceanLotus KerrDown (McAfee, 2019/02/20)
https://www.mcafee.com/enterprise/ja-jp/threat-center/threat-landscape-dashboard/campaigns-details.operation-oceanlotus-kerrdown.html
⇒ https://malware-log.hatenablog.com/entry/2019/02/20/000000_10
◆弊社東京地区販売店における顧客情報流出の可能性に関するお知らせ (TOYOTA, 2019/03/29)
https://global.toyota/jp/newsroom/corporate/27465617.html
⇒ https://malware-log.hatenablog.com/entry/2019/03/29/000000_3
【資料】
■2019年
◆OceanLotus 東南アジア自動車業界への攻撃 (Macnica, 2019/04/25)
https://www.macnica.net/file/mpression_automobile.pdf
⇒ http://malware-log.hatenablog.com/entry/2019/04/25/180402
関連情報
【関連まとめ記事】
◆標的型攻撃組織 / APT (まとめ)
https://malware-log.hatenablog.com/entry/APT
◆KerrDown (まとめ)
http://malware-log.hatenablog.com/entry/KerrDown
【インディケータ情報】
■ハッシュ情報(MD5)
7e68371ba3a988ff88e0fb54e2507f0d
0529b1d393f405bc2b2b33709dd57153
9fea62c042a8eda1d3f5ae54bad1e959
486bb089b22998ec2560afa59008eafa
b778d0de33b66ffdaaf76ba01e7c5b7b
53e5718adf6f5feb2e3bb3396a229ba8
d39edc7922054a0f14a5b000a28e3329
41bced8c65c5822d43cadad7d1dc49fd
■ハッシュ情報(Sha256) - KerrDown -
89e19df797481ae2d2c895bcf030fe19e581976d2aef90c89bd6b3408579bfc3
■ハッシュ情報(Sha256)
824a5d74bf78481fe935670bf1ea3797ebc210181e6ffe0ee5854d61cf59b2a1
847d0fa2e12a1d0f1a68abad269b5e0aebc2bd904bb695067af08703982ae929
8526f10b50ec4deb70e7da7a4e693ed04e6a8e332f891c8a84e3783aaad13ad9
53efaac9244c24fab58216a907783748d48cb32dbdc2f1f6fb672bd49f12be4c
358df9aba78cf53e38c2a03c213c31ba8735e3936f9ac2c4a05cfb92ec1b2396
■URL
background.ristians[.]com:8888
enum.arkoorr[.]com:8531
worker.baraeme[.]com:8888
enum.arkoorr[.]com:8888
worker.baraeme[.]com:8531
plan.evillese[.]com:8531
background.ristians[.]com:8531
plan.evillese[.]com:8888
hxxps://outlook.updateoffices[.]net/vean32.png
■FQDN
pad.werzo.net
shop.ownpro.net
ssl.sfashi.com
kiifd.pozon7.net
cdn.libjs.co
sin04s01.listpaz.com
high.expbas.net
img.fanspeed.net
active.soariz.com
zone.mizove.com
dc.jaomao69.info
cdn.jaomao69.info
download.mail-attach.net
cnf.flashads.org
cn.flashads.org
cv.flashads.org
cp.flashads.org
fpdownload.shockwave.flashads.org
authen.mail.hairunaw.com.l.main.userapp.org
jsquery.net
gs.kroger7.net
autoupdate.adobe.com
■FQDN
microsoftclick[.]com
namshionline[.]com
■IPアドレス
62.113.238.135
64.62.174.176
91.229.77.179
128.127.106.243
146.0.43.107
167.114.184.117
173.208.157.117
176.31.22.77
185.29.8.39
192.187.120.45
193.169.244.73