【要点】
◎北朝鮮のサイバー攻撃組織。Lazarusの子組織
【目次】
概要
【辞書】
◆APT45 (Malpedia)
https://malpedia.caad.fkie.fraunhofer.de/actor/apt45
日本語訳: APT45は、少なくとも2009年から活動している北朝鮮のサイバー脅威行為者である。政府機関や防衛産業を標的としたスパイ活動や、ランサムウェアの開発など金銭的な動機に基づく作戦を実施してきた。APT45は、重要インフラ、金融組織、原子力研究施設、ヘルスケアおよび製薬会社を標的としてきました。APT45は、一般に公開されているツール、改変されたマルウェア、およびカスタムのマルウェアファミリを組み合わせて使用しています。
【ATT&CK ID】
| ID(ATT&CK) |
備考 |
|---|---|
| G0138 |
【別名】
| 名称 | 命名組織 |
|---|---|
| Andariel | |
| Silent Chollima | CrowdStrike |
| APT45 | Mandiant |
| Nickel Hyatt | |
| Onyx Sleet | Microsoft |
| Plutonium | Microsoft (旧名称) |
| Stonefly | |
| Clasiopa | |
| DarkSeoul |
【関連組織】
| 組織名 | 別名 | 備考 |
|---|---|---|
| Lazarus | Hidden Cobra, Dark Seoul | 親組織 |
| Bluenoroff | Lazarusの子組織 |
【Operation】
| 年 | Operation | 標的 |
|---|---|---|
| 2014 | BLACKMINE | South Korean organizations |
| GHOSTRAT | Defense industry | |
| XEDA | Foreign defense industries | |
| 2015 | INITROY | South Korean organizations |
| DESERTWOLF | South Korean defense industry | |
| BLACKSHEEP | Defense industry | |
| 2016 | INITROY | South Korean organizations |
| VANXATM | ATM companies | |
| 2017 | Mayday | South Koran Financial Company |
(以上は Thai Certの情報: 引用元は https://www.thaicert.or.th/downloads/files/A_Threat_Actor_Encyclopedia.pdf )
【概要】
| 項目 |
内容 |
|---|---|
| 活動開始 | 少なくとも2009年 |
| 親組織 | Lazarus |
| サイバー犯罪 | Playとしてランサムウェア活動 |
【最新情報】
◆North Korean govt hackers linked to Play ransomware attack (BleepingComputer, 2024/10/30 11:55)
[北朝鮮政府のハッカー集団が関与した「Play」ランサムウェア攻撃]
https://www.bleepingcomputer.com/news/security/north-korean-govt-hackers-linked-to-play-ransomware-attack/
⇒ https://malware-log.hatenablog.com/entry/2024/10/30/000000_1
記事
【ニュース】
■2015年
◆South Korea blames North Korea for December hack on nuclear operator (ロイター, 2015/03/17 06:11) https://www.reuters.com/article/us-nuclear-southkorea-northkorea-idUSKBN0MD0GR20150317
⇒ http://malware-log.hatenablog.com/entry/2015/03/17/000000_2
■2017年
◆Pyongyang's Hackers Target ATMs (World News, 2017/07/28)
http://online.wsj.com/public/resources/documents/print/WSJ_-A006-20170728.pdf
⇒ http://malware-log.hatenablog.com/entry/2017/07/28/000000_8
◆北朝鮮によるサイバー攻撃、近年の狙いは外貨調達=韓国調査 (ロイター, 2017/07/28 14:53)
https://jp.reuters.com/article/northkorea-hacking-idJPKBN1AD0IP
⇒ http://malware-log.hatenablog.com/entry/2017/07/28/000000_7
◆米紙「北朝鮮ハッキング部隊の目標は外貨稼ぎ」 (朝鮮日報, 2017/07/29)
https://keizai.link/%E6%B5%B7%E5%A4%96/78819
⇒ http://malware-log.hatenablog.com/entry/2017/07/29/000000
◆ハッカー組織 北朝鮮の「金のなる木」 (大紀元, 2017/08/02 13:00)
http://www.epochtimes.jp/2017/08/28091.html
⇒ http://malware-log.hatenablog.com/entry/2017/08/02/000000_5
◆【経済】ハッカー組織 北朝鮮の「金のなる木」 (Kabutan, 2017/08/03 08:55)
https://kabutan.jp/news/marketnews/?b=n201708030087
⇒ http://malware-log.hatenablog.com/entry/2017/08/03/000000
◆北朝鮮ハッカー部隊、国防機密窃取から外貨調達まで (Yahoo! ニュース, 2017/10/16 17:33)
https://headlines.yahoo.co.jp/hl?a=20171016-00010001-socra-int
⇒ http://malware-log.hatenablog.com/entry/2017/10/16/000000_13
◆北朝鮮ハッカー集団 ビットコイン取引所を狙う、資金奪取で=英メディア (THE EPOCH TIMES, 2017/12/12 17:30)
http://www.epochtimes.jp/2017/12/30099.html
⇒ http://malware-log.hatenablog.com/entry/2017/12/12/000000_3
■2018年
◆【電子版】北朝鮮、仮想通貨採掘でハッキング 韓国チームが分析 (日刊工業新聞, 2018/01/02 23:30)
https://www.nikkan.co.jp/articles/view/00456415
⇒ http://malware-log.hatenablog.com/entry/2018/01/02/000000
■2019年
◆米政府、北朝鮮傘下のハッカー3団体を制裁対象に…世界中でサイバー攻撃 (読売新聞, 2019/09/14)
https://www.yomiuri.co.jp/world/20190914-OYT1T50000/
⇒ https://malware-log.hatenablog.com/entry/2019/09/14/000000_1
◆米、北朝鮮ハッカー集団を制裁指定=世界規模でサイバー攻撃 (時事通信, 2019/09/14 06:52)
https://www.jiji.com/jc/article?k=2019091301276&g=int&utm_source=top&utm_medium=topics&utm_campaign=edit
⇒ https://malware-log.hatenablog.com/entry/2019/09/14/000000_2
■2021年
◆Andariel Group Targets South Korean Entities in New Campaign (DarkReading, 2021/06/16)
[アンダリールグループ、韓国企業をターゲットにした新キャンペーンを実施]
https://beta.darkreading.com/attacks-breaches/andariel-group-targets-south-korean-entities-in-new-campaign
⇒ https://malware-log.hatenablog.com/entry/2021/06/16/000000
■2022年
◆北朝鮮のハッカー、「副業」で中小企業にランサムウェア攻撃か (ZDNet, 2022/07/19 13:18)
https://japan.zdnet.com/article/35190606/
⇒ https://malware-log.hatenablog.com/entry/2022/07/19/000000
◆韓国語を話す持続的標的型攻撃グループ「Andariel」、金銭目的で活動か (マイナビニュース, 2022/11/06 18:07)
https://news.mynavi.jp/techplus/article/20221106-2503779/
⇒ https://malware-log.hatenablog.com/entry/2022/11/06/000000
■2023年
◆New EarlyRAT malware linked to North Korean Andariel hacking group (BleepingComputer, 2023/06/29 13:39)
[北朝鮮のハッキング・グループAndarielに関連する新しいEarlyRATマルウェア]
https://www.bleepingcomputer.com/news/security/new-earlyrat-malware-linked-to-north-korean-andariel-hacking-group/
⇒ https://malware-log.hatenablog.com/entry/2023/06/29/000000
■2024年
◆N. Korean hackers breached 10 defense contractors in South for months, police say (HANKYOREH, 2024/04/24 16:57)
[北朝鮮のハッカーが数カ月にわたり南部の防衛関連企業10社に侵入、警察が発表]
https://english.hani.co.kr/arti/english_edition/e_national/1137990
⇒ https://malware-log.hatenablog.com/entry/2024/04/24/000000_3
◆北朝鮮のハッカーが韓国の防衛請負業者10社に何か月もハッキングしていたことが判明 (Gigazine, 2024/05/04 08:00)
https://gigazine.net/news/20240504-north-korea-hacking-korean-defense-contractors/
⇒ https://malware-log.hatenablog.com/entry/2024/05/04/000000_2
◆North Korean Hackers Shift from Cyber Espionage to Ransomware Attacks (The Hacker News, 2024/07/25)
[北朝鮮のハッカー、サイバー スパイ活動からランサムウェア攻撃にシフト]
https://thehackernews.com/2024/07/north-korean-hackers-shift-from-cyber.html
⇒ https://malware-log.hatenablog.com/entry/2024/07/25/000000_1
◆北朝鮮が核計画推進のサイバー攻撃、米当局らが警戒呼びかけ (マイナビニュース, 2024/07/29 07:51)
https://news.mynavi.jp/techplus/article/20240729-2993313/
⇒ https://malware-log.hatenablog.com/entry/2024/07/29/000000
【ブログ】
■2021年
◆Andariel evolves to target South Korea with ransomware (SecureList(kaspersky), 2021/06/15)
[Andariel、ランサムウェアで韓国を標的に進化]
https://securelist.com/andariel-evolves-to-target-south-korea-with-ransomware/102811/
⇒ https://malware-log.hatenablog.com/entry/2021/06/15/000000_5
■2022年
◆Andariel deploys DTrack and Maui ransomware (SecureList(Kaspersky), 2022/08/09)
[Andariel、ランサムウェア「DTrack」と「Maui」を配備]
https://securelist.com/andariel-deploys-dtrack-and-maui-ransomware/107063/
⇒ https://malware-log.hatenablog.com/entry/2022/08/09/000000_9
◆Kaspersky、Lazarus攻撃グループ下のAndarielが、ランサムウェア「Maui」を使用した攻撃の拡大を確認 (Kaspersky, 2022/08/16)
この攻撃では、有名なマルウェア「DTrack」が改変されて使われ、さらに新種のランサムウェアである「Maui」の使用が確認できました
https://www.kaspersky.co.jp/about/press-releases/2022_vir16082022
⇒ https://malware-log.hatenablog.com/entry/2022/08/16/000000
◆Andariel expands its attacks with new ransomware (Techcoffeehouse.com, 2022/08/28)
[Andariel、新たなランサムウェアで攻撃を拡大 ]
https://techcoffeehouse.com/2022/08/28/andariel-expands-its-attacks-with-new-ransomware/
⇒ https://malware-log.hatenablog.com/entry/2022/08/28/000000_2
■2024年
◇2024年7月
◆APT45: North Korea’s Digital Military Machine (Mandiant(Google), 2024/07/26)
[APT45:北朝鮮のデジタル軍事マシン]
https://cloud.google.com/blog/topics/threat-intelligence/apt45-north-korea-digital-military-machine?hl=en
⇒ https://malware-log.hatenablog.com/entry/2024/07/26/000000_1
◇2024年10月
◆North Korean govt hackers linked to Play ransomware attack (BleepingComputer, 2024/10/30 11:55)
[北朝鮮政府のハッカー集団が関与した「Play」ランサムウェア攻撃]
https://www.bleepingcomputer.com/news/security/north-korean-govt-hackers-linked-to-play-ransomware-attack/
⇒ https://malware-log.hatenablog.com/entry/2024/10/30/000000_1
【注意喚起】
■2017年
◆Alert (TA17-164A) HIDDEN COBRA – North Korea’s DDoS Botnet Infrastructure (US-CERT, 2017/06/13)
https://www.us-cert.gov/ncas/alerts/TA17-164A
⇒ http://malware-log.hatenablog.com/entry/2017/06/13/000000_7
【公開情報】
◆North Korea Cyber Group Conducts Global Espionage Campaign to Advance Regime’s Military and Nuclear Programs (CISA, 2024/07/25)
[北朝鮮のサイバー集団、政権の軍事・核プログラムを推進するため世界的なスパイ活動を実施]
https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-207a
⇒ https://malware-log.hatenablog.com/entry/2024/07/25/000000_2
【資料】
■2017年
◆A Deep Dive into the Digital Weapons of North Korean Cyber Army (hackinthebox, 2017/08/24) https://gsec.hitb.org/materials/sg2017/D1%20-%20Ashley%20Shen%20and%20Moonbeom%20Park%20-%20A%20Deep%20Dive%20into%20the%20Digital%20Weapons%20of%20the%20North%20Korean%20Cyber%20Army.pdf
⇒ http://malware-log.hatenablog.com/entry/2017/08/24/000000_1
■2018年
◆アンダリエルの攻撃パターン変化 (Ahnlab, 2018/07)
https://jp.ahnlab.com/global/upload/download/asecreport/PressAhn_201807_Vol55.pdf
⇒ https://malware-log.hatenablog.com/entry/2018/07/31/000000_9
【検索】
google: Andariel
google: APT45
google: Silent Chollima
google:news: Andariel
google:news: APT45
google:news: Silent Chollima
google: site:virustotal.com Andariel
google: site:virustotal.com APT45
google: site:virustotal.com Silent Chollima
google: site:github.com Andariel
google: site:github.com APT45
google: site:github.com Silent Chollima
■Bing
https://www.bing.com/search?q=Andariel
https://www.bing.com/search?q=APT45
https://www.bing.com/news/search?q=Silent%20Chollima
https://www.bing.com/search?q=Andariel
https://www.bing.com/news/search?q=APT45
https://www.bing.com/news/search?q=Silent%20Chollima
https://twitter.com/search?q=%23Andariel
https://twitter.com/search?q=%23APT45
https://twitter.com/search?q=%23Silent%20Chollima
https://twitter.com/hashtag/Andariel
https://twitter.com/hashtag/APT45
https://twitter.com/hashtag/Silent%20Chollima
関連情報
【関連情報】
◆DTrack (まとめ)
https://malware-log.hatenablog.com/entry/DTrack
◆Maui (まとめ)
https://malware-log.hatenablog.com/entry/Maui
【関連まとめ記事】
◆標的型攻撃組織 / APT (まとめ)
https://malware-log.hatenablog.com/entry/APT
◆北朝鮮の攻撃組織 (まとめ)
https://malware-log.hatenablog.com/entry/northkorea_attacker
