TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究・参照ログ

APT35 (まとめ)

【要点】

◎2014年ころから活動するイランのサイバー攻撃組織。イラン国家が後ろ盾と考えられている
◎ThaiCERTによると、2013年(2011年という情報も)から活動が開始されていたもよう


【目次】

概要

【ATT&CK ID】
ID(ATT&CK)
備考
G0059 Magic Hound
【別名】
攻撃組織名
命名組織
APT35 Mandiant
Charming Kitten Clearsky
CrowdStrike
CERTFA
Magic Hound Paloalto
Ajax Security Team FireEye
Newscaster
Cobalt Gypsy
Cobalt Illusion Secureworks
Phosphorus Microsoft
NewsBeef Kaspersky
ITG18 X-Force(IBM)
TEMP.Beanie FireEye
Timberworm Symantec
Tarh Andishan Cylance
TA453 Proofpoint
Yellow Garuda PwC
【作戦名】
作戦名 時期 備考
Operation Saffron Rose 2014 FireEye
Operation Woolen-Goldfish 2015
【使用マルウェア/ツール】 *1
ATT&CK ID 名称
S0186 DownPaper
S0224 Havij
S0002 Mimikatz
S0029 PsExec
S0192 Pupy
S0225 sqlmap
Memento
【関係が深い攻撃組織】
組織名 備考
APT42
Rocket Kitten
【最新情報】

◆Cyberspies linked to Memento ransomware use new PowerShell malware (BleepingComputer, 2022/02/01 14:00)
[ランサムウェア「Memento」に関連するサイバースピーが新しいPowerShellマルウェアを使用]
https://www.bleepingcomputer.com/news/security/cyberspies-linked-to-memento-ransomware-use-new-powershell-malware/
https://malware-log.hatenablog.com/entry/2022/02/01/000000_1

◆PowerLessトロイの木馬:中東のAPTグループPhosphorusがスパイ活動用に新種のPowerShellバックドアを開発 (Cyberreason, 2022/02/24)
https://www.cybereason.co.jp/blog/cyberattack/7583/
https://malware-log.hatenablog.com/entry/2022/02/24/000000_14

記事

【ニュース】

■2017年

◆Kaspersky Lab、データを破壊する新マルウエア「StoneDrill」を発見 (ITPro, 2017/03/10)
http://itpro.nikkeibp.co.jp/atcl/news/17/031000785/
http://malware-log.hatenablog.com/entry/2017/03/10/000000_6


■2018年

◆2018년 주목해야 할 정부지원 해킹그룹 8 (boannews, 2018/02/17)
[2018年注目すべき政府支援ハッキンググループ8]
http://www.boannews.com/media/view.asp?idx=66847
http://malware-log.hatenablog.com/entry/2018/02/17/000000


■2019年

◆MS、イランのハッカー集団のドメイン差し押さえ--裁判所命令勝ち取る (ZDNet, 2019/3/28 13:05)
https://japan.zdnet.com/article/35134876/
https://malware-log.hatenablog.com/entry/2019/03/28/000000_2


■2020年

◆米イランの対立で「サイバー空間」の戦争はどうなる? (ビジネス+IT, 2020/01/19)
https://www.sbbit.jp/article/cont1/37555
https://malware-log.hatenablog.com/entry/2020/01/19/000000

◆レムデシビル製造元の米ギリアドにサイバー攻撃 イラン系ハッカー集団か (Newsweek, 2020/05/09 11:00)
https://www.newsweekjapan.jp/stories/world/2020/05/post-93369.php
https://malware-log.hatenablog.com/entry/2020/05/09/000000

◆Iranian Spies Accidentally Leaked Videos of Themselves Hacking (WIRED, 2020/07/16 06:00)
[イランのスパイがハッキングの様子を撮影した動画を偶然にも公開]

IBM’s X-Force security team obtained five hours of APT35 hacking operations, showing exactly how the group steals data from email accounts—and who it’s targeting.
[IBMのX-Forceセキュリティチームは5時間のAPT35ハッキング操作を入手し、グループがどのようにメールアカウントからデータを盗んだか、そしてその対象者を明らかにしました]

https://www.wired.com/story/iran-apt35-hacking-video/
https://malware-log.hatenablog.com/entry/2020/07/16/000000_5

◆Iranian cyberspies leave training videos exposed online (ZDNet, 2020/07/16 10:05)
[イランのサイバースパイがトレーニングビデオをネット上に公開]

Cyber-security firm IBM X-Force finds video recordings used to train Iranian state hackers.
[サイバーセキュリティ企業のIBM X-Forceは、イラン国家のハッカーの訓練に使用されたビデオ記録を発見しました]

https://www.zdnet.com/article/iranian-cyberspies-leave-training-videos-exposed-online/
https://malware-log.hatenablog.com/entry/2020/07/16/000000_6

◆イランのハッカーグループが作成したトレーニング用の動画が流出か--IBM X-Force (ZDNet, 2020/07/20)
https://japan.zdnet.com/article/35157008/
https://malware-log.hatenablog.com/entry/2020/07/20/000000_4


■2021年

◆Googleがイラン政府系ハッカー組織について公式警告を発表 (Gigazine, 2021/10/15 11:17)
https://gigazine.net/news/20211015-google-countering-threats-from-iran/
https://malware-log.hatenablog.com/entry/2021/10/15/000000_3

◆「Log4j」脆弱性、中国や北朝鮮発の悪用をMicrosoftが確認 (ITmedia, 2021/12/16 07:29)
https://www.itmedia.co.jp/news/articles/2112/16/news065.html
https://malware-log.hatenablog.com/entry/2021/12/16/000000

【ブログ】

■2017年

◆Magic Hound Campaign Attacks Saudi Targets (UNIT42, 2017/02/15 21:16)
[Magic Houndキャンペーンでは、サウジアラビアをターゲットにした]
https://unit42.paloaltonetworks.com/unit42-magic-hound-campaign-attacks-saudi-targets/
http://malware-log.hatenablog.com/entry/2017/02/15/000000_8

◆From Shamoon to StoneDrill (Kaspersky, 2017/03/06 15:36)
[シャムーンからストーンドリルへ]
https://securelist.com/from-shamoon-to-stonedrill/77725/
http://malware-log.hatenablog.com/entry/2017/03/06/000000_1

◆CopyKittens Exposed by ClearSky and Trend Micro (Trendmicro, 2017/07/25)
[ClearSkyとTrend MicroによるCopyKittensの公開]
https://blog.trendmicro.com/copykittens-exposed-clearsky-trend-micro/
http://malware-log.hatenablog.com/entry/2017/07/25/000000_9


■2018年

◆OVERRULED: Containing a Potentially Destructive Adversary (FireEye, 2018/12/21)
[OVERRULED 潜在的破壊力のある敵を封じ込める]
https://www.fireeye.com/blog/threat-research/2018/12/overruled-containing-a-potentially-destructive-adversary.html
https://malware-log.hatenablog.com/entry/2018/12/21/000000_19


■2019年

◆Microsoft slaps down 99 APT35/Charming Kitten domains (Naked Security(Sophos), 2019/04/01)
[マイクロソフト、APT35/Charming Kittenのドメイン99個を一斉削除]
https://nakedsecurity.sophos.com/2019/04/01/microsoft-slaps-down-99-apt35-charming-kitten-domains/
https://malware-log.hatenablog.com/entry/2019/04/01/000000_8


■2020年

◆脅威に関する情報: イラン関連サイバー攻撃オペレーション (UNIT42(Paloalto), 2020/01/13)
https://unit42.paloaltonetworks.jp/threat-brief-iranian-linked-cyber-operations/
https://malware-log.hatenablog.com/entry/2020/01/13/000000_3


■2021年

◆感染した環境でAPT35 ‘Charming Kitten' を発見 (DarkTrace, 2021/04/23)
https://www.darktrace.com/ja/blog/apt-35-charming-kitten-discovered-in-a-pre-infected-environment/
https://malware-log.hatenablog.com/entry/2021/04/23/000000_14

◆Countering threats from Iran (Google, 2021/10/14)
[イランからの脅威への対応]
https://blog.google/threat-analysis-group/countering-threats-iran/
https://malware-log.hatenablog.com/entry/2021/10/15/000000_4


■2022年

◆PowerLessトロイの木馬:中東のAPTグループPhosphorusがスパイ活動用に新種のPowerShellバックドアを開発 (Cyberreason, 2022/02/24)
https://www.cybereason.co.jp/blog/cyberattack/7583/
https://malware-log.hatenablog.com/entry/2022/02/24/000000_14

【公開情報】

■2015年

◆Report: The CopyKittens are targeting Israelis (Clearsky, 2015/11/23)
[レポート コピーキッテンはイスラエル人をターゲットにしている]
https://www.clearskysec.com/report-the-copykittens-are-targeting-israelis/
http://malware-log.hatenablog.com/entry/2015/11/23/000000_1

【資料】

■2017年

◆FROM SHAMOON TO STONEDRILL (Kaspersky, 2017/03/07)
[シャムーンからストンドリルへ ]

Wipers attacking Saudi organizations and beyond
[ワイパーがサウジの組織を超えて攻撃する]

https://securelist.com/files/2017/03/Report_Shamoon_StoneDrill_final.pdf
http://malware-log.hatenablog.com/entry/2017/03/06/000000_1

◆Operation Wilted Tulip (ClearSky Cyber Security, 2017/07/27)
[枯れたチューリップ作戦]
https://www.clearskysec.com/wp-content/uploads/2017/07/Operation_Wilted_Tulip.pdf
http://malware-log.hatenablog.com/entry/2017/07/27/000000_7

◆Charming Kitten (Clearsky, 2017/12)
http://www.clearskysec.com/wp-content/uploads/2017/12/Charming_Kitten_2017.pdf
http://malware-log.hatenablog.com/entry/2017/12/01/000000_7

関連情報

【関連情報】

◆Ransomware: Memento (まとめ)
https://malware-log.hatenablog.com/entry/Memento

【関連まとめ記事】

全体まとめ
 ◆攻撃組織 / Actor (まとめ)

◆標的型攻撃組織 / APT (まとめ)
https://malware-log.hatenablog.com/entry/APT