BlackTech (まとめ) - TT Malware Log

【目次】

概要
記事
関連情報
- 【関連まとめ記事】

概要

【辞書】

◆BlackTech (Threat Actor Map)
https://aptmap.netlify.com/#BlackTech

◆BlackTech (ATT&CK)
https://attack.mitre.org/groups/G0098/

◆BlackTech (Malpedia)
https://malpedia.caad.fkie.fraunhofer.de/actor/blacktech

◆BlackTechとは【用語集詳細】 (SOMPO CYBER SECURITY)
https://www.sompocybersecurity.com/column/glossary/blacktech

【別名】

名称	命名組織
BlackTech	一般的、Trendmicro
Huapi	TeamT5
Black Pineapple
Earth Hundun	Trendmicro

【使用マルウェア】

名称	ATT&CK ID	備考
PLEAD	S0435
Kivars	S0437
TSCookie	S0436
CAPGELD
DBGPRINT
Drigo
BifRost
WaterBear
Gh0stTimes
Flagpro

【概要】

項目	内容
攻撃組織	BlackTech
キャンペーン	PLEAD
キャンペーン	Shrouded Crossbow
キャンペーン	Waterbear
攻撃対象	台湾、日本、香港、米国

■BlackTechの特徴

項目	内容
攻撃組織	BlachTech
関係国	中国
活動開始時期	2010年頃
攻撃対象国	・日本を含む東アジアと米国を対象・政府、産業、技術、メディア、エレクトロニクスおよび電気通信分野を標的・情報窃取を目的とするサイバー攻撃を実行
初期侵入の手口	インターネットに接続されたネットワーク機器に対して以下のようなさまざまな脆弱な点を攻撃する　・ソフトウェアの脆弱性を狙う　・ネットワークの設定の不十分さ　・サポートの切れた機器やソフトウェア
侵害活動の拡大	海外子会社と本社との接続のために使用される小型のルーターを、攻撃者の通信を中継するインフラとして利用
対策	・セキュリティパッチ管理の適切な実施・端末の保護（エンドポイント・プロテクションなど）・ソフトウェアなどの適切な管理・運用、ネットワーク・セグメンテーション・本人認証の強化、多要素認証の実装・アカウントなどの権限の適切な管理・運用・侵害の継続的な監視・インシデント対応計画、システム復旧計画の作成・ゼロトラストモデルに基づく対策

【最新情報】

◆中国を背景とするサイバー攻撃グループ BlackTech によるサイバー攻撃について（注意喚起） (警察庁, 2023/09/27)
https://www.npa.go.jp/bureau/cyber/pdf/20230927press.pdf
⇒ https://malware-log.hatenablog.com/entry/2023/09/27/000000_1

◆日米被害のサイバー攻撃、「中国背景の集団」と特定　警察庁とFBI (朝日新聞, 2023/09/27 19:00)
https://digital.asahi.com/articles/ASR9W5QR2R9WUTIL00Y.html
⇒ https://malware-log.hatenablog.com/entry/2023/09/27/000000

◆サイバー攻撃集団「BlackTech」中国背景に　企業に手口など公開し注意喚起　警察庁 (TBS, 2023/09/27 19:04)
https://newsdig.tbs.co.jp/articles/-/746055
⇒ https://malware-log.hatenablog.com/entry/2023/09/27/000000_2

◆中国を背景とするサイバー攻撃グループ警察庁などが注意喚起 (NHK, 2023/09/28 09:28)
https://www3.nhk.or.jp/news/html/20230928/k10014208601000.html
⇒ https://malware-log.hatenablog.com/entry/2023/09/28/000000

◆警察庁とNISC、中国のサイバー攻撃グループ「BlackTech」に、米関係機関と共同で注意喚起 (Internet Watch, 2023/09/29 14:30)
https://internet.watch.impress.co.jp/docs/news/1535484.html
⇒ https://malware-log.hatenablog.com/entry/2023/09/29/000000

◆サイバー攻撃グループEarth Hundun(BlackTech)の活動傾向と攻撃手法の解説 (Trendmicro, 2023/09/29)

2023年9月27日、警察庁、NISC、NSA、FBI、CISAが共同でサイバー攻撃グループ「Earth Hundun(BlackTech)」に関する注意喚起を公開しました。トレンドマイクロにおいて過去に観測したEarth Hundunの活動概要と攻撃手法を解説します

https://www.trendmicro.com/ja_jp/research/23/i/the-cyber-attack-group-earth-hundun.html
⇒ https://malware-log.hatenablog.com/entry/2023/09/29/000000_1

記事

【ニュース】

■2014年

◆台湾の政府機関を狙った標的型攻撃キャンペーン「PLEAD」を確認 (Trendmicro, 2014/05/27)
https://blog.trendmicro.co.jp/archives/9166
⇒ http://malware-log.hatenablog.com/entry/2014/05/27/000000_2

■2017年

◆「BlackTech」によるサイバー諜報活動の足跡を追う (Trendmicro, 2017/07/04)
http://blog.trendmicro.co.jp/archives/15393
⇒ http://malware-log.hatenablog.com/entry/2017/07/04/000000_2

■2018年

◆アジアで活発なBlackTechの仕業か--盗んだD-Linkの証明書を使って攻撃を展開 (ZDNet, 2018/07/11 12:39)
https://japan.zdnet.com/article/35122298/
⇒ http://malware-log.hatenablog.com/entry/2018/07/11/000000_1

◆2017年度「標的型攻撃」は幅広い分野が標的に - 「ANEL」「Taidoor」「PLEAD」などのツールを悪用 (Security NEXT, 2018/07/12)
http://www.security-next.com/095645
⇒ http://malware-log.hatenablog.com/entry/2018/07/12/000000_7

■2019年

◆ASUSのクラウドサービス、マルウェア配信に悪用されていた (ITmedia, 2019/05/17 14:00)

「サプライチェーン攻撃や中間者攻撃が、世界中でさまざまな攻撃者によって利用されるケースが増えている」とESETは警鐘を鳴らしている

https://www.itmedia.co.jp/enterprise/articles/1905/17/news094.html
⇒ https://malware-log.hatenablog.com/entry/2019/05/17/000000_12

■2020年

◆三菱電機、複数の中国系ハッカー集団から攻撃か (朝日新聞, 2020/01/22 05:00)
https://digital.asahi.com/articles/ASN1P6TGLN1PUTIL02V.html?iref=comtop_8_02
⇒ https://malware-log.hatenablog.com/entry/2020/01/22/000000_1

◆【独自】サイバー攻撃4集団　標的の分野・時期は様々 (朝日新聞, 2020/01/22 05:00)
https://digital.asahi.com/articles/ASN1P6V0QN1PUTIL02W.html
⇒ https://malware-log.hatenablog.com/entry/2020/01/22/000000

◆1年がかりで組織に潜入…秘密情報狙うハッカー集団の“地味なチームプレー” (AERA, 2020/02/12 17:00)
https://dot.asahi.com/aera/2020021000061.html?page=1
⇒ https://malware-log.hatenablog.com/entry/2020/02/12/000000

◆攻撃グループBlackTech が使用するLinux用マルウエア (ELF_TSCookie) (JPCERT/CC, 2020/02/26)
https://blogs.jpcert.or.jp/ja/2020/02/elf_tscookie.html
⇒ https://malware-log.hatenablog.com/entry/2020/02/26/000000_3

◆NTTコミュニケーションズのインシデント、想起されるグループほか [Scan PREMIUM Monthly Executive Summary] (NetSecurity, 2020/07/07 08:15)
https://scan.netsecurity.ne.jp/article/2020/07/07/44294.html
⇒ https://malware-log.hatenablog.com/entry/2020/07/07/000000_13

◆NTTコム・サイバー攻撃事件の深層、多要素認証を無効化されていた (日経XTECH, 2020/08/21)
https://xtech.nikkei.com/atcl/nxt/column/18/01157/081900017/
⇒ https://malware-log.hatenablog.com/entry/2020/08/21/000000_2

■2021年

◆富士通への侵入、中国系ハッカー集団か　重なる状況証拠 (朝日新聞, 2021/08/30 21:30)
https://digital.asahi.com/articles/ASP8Z628KP8HULZU008.html
⇒ https://malware-log.hatenablog.com/entry/2021/08/30/000000_5

■2023年

◆標的型攻撃は組織外の個人を標的--進む「サプライチェーン」形成 (ZDNet, 2023/06/14 07:35)
https://japan.zdnet.com/article/35205162/
⇒ https://malware-log.hatenablog.com/entry/2023/06/14/000000_7

◆日米被害のサイバー攻撃、「中国背景の集団」と特定　警察庁とFBI (朝日新聞, 2023/09/27 19:00)
https://digital.asahi.com/articles/ASR9W5QR2R9WUTIL00Y.html
⇒ https://malware-log.hatenablog.com/entry/2023/09/27/000000

◆サイバー攻撃集団「BlackTech」中国背景に　企業に手口など公開し注意喚起　警察庁 (TBS, 2023/09/27 19:04)
https://newsdig.tbs.co.jp/articles/-/746055
⇒ https://malware-log.hatenablog.com/entry/2023/09/27/000000_2

◆中国を背景とするサイバー攻撃グループ警察庁などが注意喚起 (NHK, 2023/09/28 09:28)
https://www3.nhk.or.jp/news/html/20230928/k10014208601000.html
⇒ https://malware-log.hatenablog.com/entry/2023/09/28/000000

◆警察庁とNISC、中国のサイバー攻撃グループ「BlackTech」に、米関係機関と共同で注意喚起 (Internet Watch, 2023/09/29 14:30)
https://internet.watch.impress.co.jp/docs/news/1535484.html
⇒ https://malware-log.hatenablog.com/entry/2023/09/29/000000

【ブログ】

■2017年

◆Following the Trail of BlackTech’s Cyber Espionage Campaigns (Trendmicro, 2017/06/22 05:05)
https://blog.trendmicro.com/trendlabs-security-intelligence/following-trail-blacktech-cyber-espionage-campaigns/
⇒ https://malware-log.hatenablog.com/entry/2017/06/22/000000_4

◆「BlackTech」によるサイバー諜報活動の足跡を追う (Trendmicro, 2017/07/04)
http://blog.trendmicro.co.jp/archives/15393
⇒ https://malware-log.hatenablog.com/entry/2017/07/04/000000_2

■2018年

◆2018年1月の文科省なりすましメールについてまとめてみた (piyolog, 2018/01/19)
http://d.hatena.ne.jp/Kango/20180119/1516391079
⇒ http://malware-log.hatenablog.com/entry/2018/01/19/000000_3

■2021年

◆攻撃グループBlackTechが使用するマルウェアGh0stTimes (JPCERT/CC, 2021/09/28)
https://blogs.jpcert.or.jp/ja/2021/09/gh0sttimes.html
⇒ https://malware-log.hatenablog.com/entry/2021/09/28/000000_2

◆標的型攻撃グループBlackTechが使用するマルウェアFlagproについて (NTT Secure, 2021/10/08)
https://insight-jp.nttsecurity.com/post/102h7vx/blacktechflagpro
⇒ https://malware-log.hatenablog.com/entry/2021/10/08/000000_3

■2023年

◆サイバー攻撃グループEarth Hundun(BlackTech)の活動傾向と攻撃手法の解説 (Trendmicro, 2023/09/29)

2023年9月27日、警察庁、NISC、NSA、FBI、CISAが共同でサイバー攻撃グループ「Earth Hundun(BlackTech)」に関する注意喚起を公開しました。トレンドマイクロにおいて過去に観測したEarth Hundunの活動概要と攻撃手法を解説します

https://www.trendmicro.com/ja_jp/research/23/i/the-cyber-attack-group-earth-hundun.html
⇒ https://malware-log.hatenablog.com/entry/2023/09/29/000000_1

【公開情報】

■2018年

◆プラグインをダウンロードして実行するマルウエアTSCookie (2018-03-01) (JPCERT/CC, 2018/03/01)
https://www.jpcert.or.jp/magazine/acreport-tscookie.html
⇒ http://malware-log.hatenablog.com/entry/2018/03/01/000000_2

◆攻撃者グループ "BlackTech"による "PLEAD"を使った日本への攻撃を確認 (Lac, 2018/04/25)
https://www.lac.co.jp/lacwatch/people/20180425_001625.html
⇒ http://malware-log.hatenablog.com/entry/2018/04/25/000000_5

◆攻撃グループBlackTechが使うマルウエアPLEADダウンローダ (2018-05-28) (JPCERT/CC, 2018/05/28)
https://www.jpcert.or.jp/magazine/acreport-linopid.html
⇒ http://malware-log.hatenablog.com/entry/2018/05/28/000000_3

■2019年

◆攻撃グループBlackTechが侵入後に使用するマルウエア (JPCERT/CC, 2019/09/03)
https://blogs.jpcert.or.jp/ja/2019/09/tscookie_loader.html
⇒ https://malware-log.hatenablog.com/entry/2019/09/03/000000_7

■2020年

◆Operation BlackTech ELF_TSCookie (McAfee, 2020/03/18)
https://www.mcafee.com/enterprise/ja-jp/threat-center/threat-landscape-dashboard/campaigns-details.operation-blacktech-elf-tscookie.html
⇒ https://malware-log.hatenablog.com/entry/2020/03/18/000000_5

■2023年

◆中国を背景とするサイバー攻撃グループ BlackTech によるサイバー攻撃について（注意喚起） (警察庁, 2023/09/27)
https://www.npa.go.jp/bureau/cyber/pdf/20230927press.pdf
⇒ https://malware-log.hatenablog.com/entry/2023/09/27/000000_1

【資料】

■2017年

◆Following the Trail of BlackTech’s Cyber Espionage Campaigns (Trendmicro, 2017/06)
https://documents.trendmicro.com/assets/appendix-following-the-trail-of-blacktechs-cyber-espionage-campaigns.pdf
⇒ http://malware-log.hatenablog.com/entry/2017/06/30/000000_3

■2018年

◆Certificates stolen from Taiwanese tech-companies misused in Plead malware campaign (ESET, 2018/07/09 12:28)
https://www.welivesecurity.com/2018/07/09/certificates-stolen-taiwanese-tech-companies-plead-malware-campaign/
⇒ http://malware-log.hatenablog.com/entry/2018/07/09/000000_5

■2019年

◆BlackTech Abuses National High-tech Enterprise Certificates to Launch Targeted Attacks on National High-tech Industries (ThreatBook, 2019/07/19)
https://threatbook.cn/ppt/BlackTech%20Abuses%20National%20High-tech%20Enterprise%20Certificates%20to%20Launch%20Targeted%20Attacks%20on%20National%20High-tech%20Industries.pdf
⇒ https://malware-log.hatenablog.com/entry/2019/07/19/000000_9

■2020年

◆Evil Hidden in Shellcode: The Evolution of Malware DBGPRINT (TeamT5, 2020/01/17)
https://jsac.jpcert.or.jp/archive/2020/pdf/JSAC2020_2_ycy-aragorn_jp.pdf
https://jsac.jpcert.or.jp/archive/2020/pdf/JSAC2020_2_ycy-aragorn_en.pdf
⇒ https://malware-log.hatenablog.com/entry/2020/01/17/000000_5

■2022年

◆BlackTech 標的型攻撃解析レポート (NTTセキュリティ, 2022/04/20)
https://jp.security.ntt/resources/BlackTech_2021.pdf
⇒ https://malware-log.hatenablog.com/entry/2022/04/20/000000_7