TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究・参照ログ

TA505 (まとめ)

【目次】

概要

【別名】
名称 名称使用組織
TA505 (一般)
Hive0065 IBM *1
Fin11
DEV-0950
【辞典】

◆TA505 (ATT&CK)
https://attack.mitre.org/groups/G0092/


【使用マルウェア】

マルウェア名 備考
Dridex
Trickbot
FlawedAmmyy
FlawedGrace
ServHelper
SDBbot RAT *2


【最新情報】

◆Microsoft links Raspberry Robin worm to Clop ransomware attacks (BleepingComputer, 2022/10/27 15:34)
[マイクロソフト、Raspberry RobinワームとClopランサムウェア攻撃を関連付け]
https://www.bleepingcomputer.com/news/security/microsoft-links-raspberry-robin-worm-to-clop-ransomware-attacks/
https://malware-log.hatenablog.com/entry/2022/10/27/000000_2

記事

【ニュース】

■2019年

◆TA505 Crime Gang Debuts Brand-New ServHelper Backdoor (ThreatPost, 2019/01/11)

The latest malware from TA505 has been seen targeting banks, retailers and restaurants with two different versions
TA505の最新のマルウェアは、銀行、小売店、レストランをターゲットにしており、2つの異なるバージョンが存在している

https://threatpost.com/ta505-servhelper-malware/140792/
https://malware-log.hatenablog.com/entry/2019/01/11/000000_5

◆TA505 hackers thwarted at the door of a big financial org (CyberScoop, 2019/04/24)
https://www.cyberscoop.com/ta505-hack-stopped-cybereason-locky-ransomware/
https://malware-log.hatenablog.com/entry/2019/04/24/000000_4

◆TA505 Spear Phishing Campaign Uses LOLBins to Avoid Detection (BleepingComputer, 2019/04/25 01:56)
https://www.bleepingcomputer.com/news/security/ta505-spear-phishing-campaign-uses-lolbins-to-avoid-detection/
https://malware-log.hatenablog.com/entry/2019/04/25/000000_10

◆MS、「Excel」添付ファイル経由で拡散するマルウェアについて注意喚起 (ZDNet, 2019/06/25 11:17)
https://japan.zdnet.com/article/35138956/
https://malware-log.hatenablog.com/entry/2019/06/25/000000

◆サイバー犯罪グループ「TA505」が攻撃の手法を変更--金融機関を標的に (ZDNet, 2019/07/08 06:30)
https://japan.zdnet.com/article/35139539/
https://malware-log.hatenablog.com/entry/2019/07/08/000000


■2020年

◆Russian-Speaking Hackers Attack Pharma, Manufacturing Companies in Europe (Bleeping Computer, 2020/03/27 05:42)
https://www.bleepingcomputer.com/news/security/russian-speaking-hackers-attack-pharma-manufacturing-companies-in-europe/
https://malware-log.hatenablog.com/entry/2020/03/27/000000_6

◆SDBbot deployed by TA505 Crime Gang (IT Security GURU, 2020/04/15)
[TA505犯罪組織に配備されたSDBbot]
https://www.itsecurityguru.org/2020/04/15/sdbbot-deployed-by-ta505-crime-gang/
https://malware-log.hatenablog.com/entry/2020/04/15/000000_3

◆TA505 hacking gang uses SDBbot RAT to attack European companies (SCMedia, 2020/04/15)
[ハッキング集団「TA505」がSDBbot RATを使用して欧州企業を攻撃]
https://www.scmagazineuk.com/ta505-hacking-gang-uses-sdbbot-rat-attack-european-companies/article/1680358
https://malware-log.hatenablog.com/entry/2020/04/15/000000_2

◆Partners in crime: North Koreans and elite Russian-speaking cybercriminals (Intel471, 2020/09/16)
[犯罪のパートナー 北朝鮮とロシア語を話すエリート・サイバー犯罪者たち]
https://public.intel471.com/blog/partners-in-crime-north-koreans-and-elite-russian-speaking-cybercriminals/
https://malware-log.hatenablog.com/entry/2020/09/16/000000_4

◆Ransomware gang now using critical Windows flaw in attacks (BleepingComputer, 2020/10/09 03:33)
[ランサムウェアのギャングは現在、攻撃に重要なWindowsの欠陥を使用しています。]
https://www.bleepingcomputer.com/news/security/ransomware-gang-now-using-critical-windows-flaw-in-attacks/
https://malware-log.hatenablog.com/entry/2020/10/09/000000_1

◆FIN11 hackers jump into the ransomware money-making scheme (BleepingComputer, 2020/10/14 11:57)
[FIN11のハッカーがランサムウェアの金儲けスキームに飛び込む]

FIN11, a financially-motivated hacker group with a history starting since at least 2016, has adapted malicious email campaigns to transition to ransomware as the main monetization method.
[少なくとも2016年から始まった歴史を持つ資金力のあるハッカー集団「FIN11」は、悪質なメールキャンペーンを適応させ、主な収益化手法としてランサムウェアに移行させています。]

https://www.bleepingcomputer.com/news/security/fin11-hackers-jump-into-the-ransomware-money-making-scheme/
https://malware-log.hatenablog.com/entry/2020/10/14/000000

■2021年

◆Inside of CL0P’s ransomware operation (Telekom, 2021/01/14)

TA505 (also known as FIN11) is a financially motivated cybercrime actor. They conduct Big Game Hunting operations, such as deployment of ransomware and extortion of large ransom payment. In the past, I explained how they operate and I scrutinized their tools. If you are not familiar with TA505 and CL0P then I recommend you to read our threat actor profile of TA505 first.
[TA505(通称FIN11)は、金銭的に動機づけられたサイバー犯罪行為者です。彼らは、ランサムウェアの展開や多額の身代金の恐喝などのビッグゲームハンティング作戦を行っています。過去には、彼らの活動方法を説明し、そのツールを精査しました。TA505とCL0Pについてよく知らない方は、まずTA505の脅威アクタープロファイルをお読みになることをお勧めします。]

https://www.telekom.com/en/blog/group/article/inside-of-cl0p-s-ransomware-operation-615824
https://malware-log.hatenablog.com/entry/2021/01/14/000000_1

◆Russian cybercrime gang targets finance firms with stealthy macros (BleepingComputer, 2021/10/15 09:58)
https://www.bleepingcomputer.com/news/security/russian-cybercrime-gang-targets-finance-firms-with-stealthy-macros/
https://malware-log.hatenablog.com/entry/2021/10/15/000000_16


■2022年

◆Microsoft links Raspberry Robin worm to Clop ransomware attacks (BleepingComputer, 2022/10/27 15:34)
[マイクロソフト、Raspberry RobinワームとClopランサムウェア攻撃を関連付け]
https://www.bleepingcomputer.com/news/security/microsoft-links-raspberry-robin-worm-to-clop-ransomware-attacks/
https://malware-log.hatenablog.com/entry/2022/10/27/000000_2

【ブログ】

■2019年

◆ServHelper and FlawedGrace - New malware introduced by TA505 (Proofpoint, 2019/01/09)
https://www.proofpoint.com/us/threat-insight/post/servhelper-and-flawedgrace-new-malware-introduced-ta505
https://malware-log.hatenablog.com/entry/2019/01/09/000000_6

◆TA505 Group Hides Malware in Legitimate Certificates (BankInfoSecurity, 2019/04/25)
https://www.bankinfosecurity.com/ta505-group-hides-malware-in-legitimate-certificates-a-12417
https://malware-log.hatenablog.com/entry/2019/04/25/000000_20

◆Analyzing Amadey (nao_sec, 2019/04/27)
https://nao-sec.org/2019/04/Analyzing-amadey.html
https://malware-log.hatenablog.com/entry/2019/04/27/000000_3

◆TA505が新しいマルウェアダウンローダー「AndroMut」を使った夏のキャンペーンを開始 アラブ首長国連邦、韓国、シンガポールおよび米国が標的 (Proofpoint, 2019/07/02)
https://www.proofpoint.com/jp/threat-insight/post/ta505-begins-summer-campaigns-new-pet-malware-downloader-andromut-uae-south
https://malware-log.hatenablog.com/entry/2019/07/02/000000_8

◆日本も狙うサイバー犯罪集団「TA505」の新たな攻撃手法を解説 (Trendmicro, 2019/07/03)
https://blog.trendmicro.co.jp/archives/21664
https://malware-log.hatenablog.com/entry/2019/07/03/000000_15

◆サイバー犯罪集団「TA505」によるスパムメール送信活動で新しいマルウェア「Gelup」と「FlowerPippi」を確認 (Trendmicro, 2019/07/08)
https://blog.trendmicro.co.jp/archives/21745
https://malware-log.hatenablog.com/entry/2019/07/08/000000_2

◆TA505 At It Again: Variety is the Spice of ServHelper and FlawedAmmyy (Trendmicro, 2019/08/27 12:01)
https://blog.trendmicro.com/trendlabs-security-intelligence/ta505-at-it-again-variety-is-the-spice-of-servhelper-and-flawedammyy/
https://malware-log.hatenablog.com/entry/2019/08/27/000000_11

◆日本も攻撃対象とするサイバー犯罪集団「TA505」の最新攻撃手法を詳細解説 (Trendmicro, 2019/10/17)
https://blog.trendmicro.co.jp/archives/22627
https://malware-log.hatenablog.com/entry/2019/10/17/000000_7


■2020年

◆Group-IB: new financially motivated attacks in Western Europe traced to Russian-speaking threat actors (Group-IB, 2020/03/27)
https://www.group-ib.com/media/silence_ta505_attacks_in_europe/
https://malware-log.hatenablog.com/entry/2020/03/27/000000_5

◆TA505 Continues to Infect Networks With SDBbot RAT (SecurityIntelligence, 2020/04/14)
https://securityintelligence.com/posts/ta505-continues-to-infect-networks-with-sdbbot-rat/
https://malware-log.hatenablog.com/entry/2020/04/14/000000_11


■2020年

◆Inside of CL0P’s ransomware operation (Telekom, 2021/01/14)

TA505 (also known as FIN11) is a financially motivated cybercrime actor. They conduct Big Game Hunting operations, such as deployment of ransomware and extortion of large ransom payment. In the past, I explained how they operate and I scrutinized their tools. If you are not familiar with TA505 and CL0P then I recommend you to read our threat actor profile of TA505 first.
[TA505(通称FIN11)は、金銭的に動機づけられたサイバー犯罪行為者です。彼らは、ランサムウェアの展開や多額の身代金の恐喝などのビッグゲームハンティング作戦を行っています。過去には、彼らの活動方法を説明し、そのツールを精査しました。TA505とCL0Pについてよく知らない方は、まずTA505の脅威アクタープロファイルをお読みになることをお勧めします。]

https://www.telekom.com/en/blog/group/article/inside-of-cl0p-s-ransomware-operation-615824

【IoC情報】

◆Silence (IoC (TT Malware Log))
https://ioc.hatenablog.com/entry/2020/03/27/000000

関連情報

【関連まとめ記事】

全体まとめ
 ◆攻撃組織 / Actor (まとめ)

◆サイバー犯罪組織 (まとめ)
https://malware-log.hatenablog.com/entry/Cybercrime