TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究・参照ログ

Tick / Bronze Butler (まとめ)

== 【目次】==

概要

【別名】
組織名 備考
Tick Symantec, (Trendmicro), Ahnlab
Bronze Butler Dell Secureworks, (Trendmicro)
NCPH iDefense
Bald Knight
RedBaldKnight Trendmicro
The Bald Knight Rises kaspersky
Nian
【使用マルウェア】

■ダウンローダー

マルウェア名 別名 備考
Wali ダウンローダー
Bisodown Cpycat / HomamDownloader / Homan ダウンローダー, 2014/04に発見
Gofarer ダウンローダー, 2015~2019
ABK Downloader
Avirra Downloader


■RAT

マルウェア名 別名 備考
XXMM KVNDM / Minzen / Murim / ShadowWali / Wali / Wrim RAT
Daserf Muirim / Nioupale / Postbot RAT
Datper RAT
NamwlessHdoor RAT
Netboy Domino / Invader RAT
Ninezero 9002 RAT


■未整理

マルウェア名 別名 備考
BBK
doc_II
Pretender
Hidefloder
Build_down
Lilith
Down_new
Casper
Avenger
【辞書】

◆BRONZE BUTLER (MITRE)
https://attack.mitre.org/groups/G0060/

◆Network Crack Program Hacker Group(NCPH) (Wikipedia)
https://en.wikipedia.org/wiki/Network_Crack_Program_Hacker_Group
http://malware-log.hatenablog.com/entry/NCPH

【概要】
項目 内容
攻撃対象 日本、韓国
【最新情報】

◆1年がかりで組織に潜入…秘密情報狙うハッカー集団の“地味なチームプレー” (AERA, 2020/02/12 17:00)
https://dot.asahi.com/aera/2020021000061.html?page=1
https://malware-log.hatenablog.com/entry/2020/02/12/000000

◆中国の「国営ハッカー」に、日本一のセキュリティ企業が丸裸の衝撃 (週刊現代, 2020/02/19)
https://malware-log.hatenablog.com/entry/2020/02/19/000000
https://gendai.ismedia.jp/articles/-/70325

記事

【ニュース】

■2008年

◆中国・ロシアのハッカー最新事情 (ITPro, 2008/01/07)
http://itpro.nikkeibp.co.jp/article/COLUMN/20071225/290187/?rt=nocnt
http://malware-log.hatenablog.com/entry/2008/01/07/000000


■2015年

◆Detecting Daserf variants using Security Analytics (RSA, 2015/09/28)
https://community.rsa.com/community/products/netwitness/blog/2015/09/28/detecting-daserf-variants-using-security-analytics
http://malware-log.hatenablog.com/entry/2015/09/28/000000


■2016年

◆Tick Cyber-Espionage Group Targets Japanese Companies with Daserf Backdoors (Softpedia, 2016/04/29)
http://news.softpedia.com/news/tick-cyber-espionage-group-targets-japanese-companies-with-daserf-backdoors-503555.shtml
http://malware-log.hatenablog.com/entry/2016/04/29/000000_1

◆TICK CYBERESPIONAGE GROUP ZEROS IN ON JAPAN (Information Security Newspaper, 2016/04/30)
http://www.securitynewspaper.com/2016/04/30/tick-cyberespionage-group-zeros-japan/
http://malware-log.hatenablog.com/entry/2016/04/30/000000

◆10年前から密かに活動していたサイバースパイ集団「Tick」、日本のテクノロジー系/水産工学系/報道系の特定企業に集中攻撃 (Internet Watch, 2016/05/06 19:47)
http://internet.watch.impress.co.jp/docs/news/756214.html
http://malware-log.hatenablog.com/entry/2016/05/06/000000_1

◆ラック、マルウェア「Daserf」の実態レポート「日本の重要インフラ事業者を狙った攻撃者」を公開 (EnterpriseZine, 2016/08/02 15:00)
https://enterprisezine.jp/article/detail/8333
http://malware-log.hatenablog.com/entry/2016/08/02/000000

◆重要インフラを狙うマルウェア「Daserf」、長期間標的組織に潜伏の可能性(ラック) (NetSecurity, 2016/08/03)
http://scan.netsecurity.ne.jp/article/2016/08/03/38799.html
http://malware-log.hatenablog.com/entry/2016/08/03/000000_2

■2017年

◆日本に精通した標的型攻撃「BRONZE BUTLER」の詳細レポートを公開(SecureWorks) (NetSecurity, 2017/06/23)
https://scan.netsecurity.ne.jp/article/2017/06/26/39888.html
http://malware-log.hatenablog.com/entry/2017/06/23/000000

◆Tick threat group linked to multiple malware families (SCmedia, 2017/07/25)
https://www.scmagazine.com/tick-threat-group-linked-to-multiple-malware-families/article/677249/
http://malware-log.hatenablog.com/entry/2017/07/25/000000_7

◆日本企業を狙う中国のサイバースパイ集団、知的財産や製品情報が被害に (ITmedia, 2017/10/16 08:45)
http://www.itmedia.co.jp/enterprise/articles/1710/16/news050.html
http://malware-log.hatenablog.com/entry/2017/10/16/000000_10

◆日本の製造業や重工業を狙うサイバーグループ「BRONZE BUTLER」に注意 (マイナビニュース, 2017/10/17)
http://news.mynavi.jp/news/2017/10/17/127/
http://malware-log.hatenablog.com/entry/2017/10/17/000000_11

◆モバイルWi-Fiルーターがマルウェアの感染経路になっていた! 日本を狙った「XXMM」亜種の特徴的な感染経路 (Internet Watch, 2017/12/27)

活動が続く「The Bald Knight Rises」の洗練された攻撃手法、カスペルスキーが解説

https://internet.watch.impress.co.jp/docs/news/1099223.html
http://malware-log.hatenablog.com/entry/2017/12/27/000000


■2018年

◆セキュアUSBメモリを使うマルウェア攻撃、Windows XPや2003を標的に (ZDNet, 2018/06/25 15:50)
https://japan.zdnet.com/article/35121409/
http://malware-log.hatenablog.com/entry/2018/06/25/000000

◆Tick APTハッキンググループ、韓国の防衛産業が作成したセキュリティUSBターゲットに攻撃 (Dailysecu, 2018/06/27 22:07)
https://www.dailysecu.com/news/articleView.html?idxno=35901
https://malware-log.hatenablog.com/entry/2018/06/27/000000_10


■2019年

◆攻撃グループ「Tick」、資産管理ソフトへの脆弱性攻撃を継続 - 標的型攻撃も (Security NEXT, 2019/02/22)
http://www.security-next.com/102741
http://malware-log.hatenablog.com/entry/2019/02/22/000000_1

◆攻撃集団はつながっている―サイバーインテリジェンス専門家が解説する「技術偵察の実態」 (Enterprize Zine, 2019/07/29 07:00)
https://enterprisezine.jp/article/detail/12300
https://malware-log.hatenablog.com/entry/2019/07/29/000000_4


■2020年

◆【独自】三菱電機にサイバー攻撃 防衛などの情報流出か (朝日新聞, 2020/01/20 05:00)
https://www.asahi.com/articles/ASN1M6VDSN1MULFA009.html
https://malware-log.hatenablog.com/entry/2020/01/20/000000

◆【独自】狙いは中間管理職の端末 三菱電機を周到に攻撃 (朝日新聞, 2020/01/20)
https://www.asahi.com/articles/ASN1M6WRJN1MULFA00B.html
https://malware-log.hatenablog.com/entry/2020/01/20/000000_1

◆標的は日韓企業、暗躍する中国ハッカー集団Tick (日経新聞, 2020/01/20 21:01)
https://www.nikkei.com/article/DGXMZO54623610Q0A120C2EA1000/
https://malware-log.hatenablog.com/entry/2020/01/20/000000_3

◆三菱電機にサイバー攻撃! 中国系集団関与か 朝日新聞報道 サイバー防衛隊初代隊長・佐藤雅俊氏「氷山の一角」 (Zakzak, 20120/01/20)
https://www.zakzak.co.jp/soc/news/200120/dom2001200009-n1.html
https://malware-log.hatenablog.com/entry/2020/01/20/000000_4

◆Mitsubishi Electric discloses security breach, China is main suspect (ZDNet, 2020/01/20 10:27 GMT)
https://www.zdnet.com/article/mitsubishi-electric-discloses-security-breach-china-is-main-suspect/
https://malware-log.hatenablog.com/entry/2020/01/20/000000_9

◆三菱電機にサイバー攻撃「中国系ハッカー集団Tick」の恐るべき正体 (現代ビジネス, 2020/01/21 )
https://gendai.ismedia.jp/articles/-/69918
https://malware-log.hatenablog.com/entry/2020/01/21/000000_2

◆日本企業を狙うサイバー攻撃集団「Tick」とは何者か? (マイナビニュース, 2020/01/21 14:40)
https://news.mynavi.jp/article/20200121-957754/
https://malware-log.hatenablog.com/entry/2020/01/21/000000_3

◆【独自】サイバー攻撃4集団 標的の分野・時期は様々 (朝日新聞, 2020/01/22 05:00)
https://digital.asahi.com/articles/ASN1P6V0QN1PUTIL02W.html
https://malware-log.hatenablog.com/entry/2020/01/22/000000

◆三菱電機、複数の中国系ハッカー集団から攻撃か (朝日新聞, 2020/01/22 05:00)
https://digital.asahi.com/articles/ASN1P6TGLN1PUTIL02V.html?iref=comtop_8_02
https://malware-log.hatenablog.com/entry/2020/01/22/000000_1

◆1年がかりで組織に潜入…秘密情報狙うハッカー集団の“地味なチームプレー” (AERA, 2020/02/12 17:00)
https://dot.asahi.com/aera/2020021000061.html?page=1
https://malware-log.hatenablog.com/entry/2020/02/12/000000

◆中国の「国営ハッカー」に、日本一のセキュリティ企業が丸裸の衝撃 (週刊現代, 2020/02/19)
https://malware-log.hatenablog.com/entry/2020/02/19/000000
https://gendai.ismedia.jp/articles/-/70325

◆中国ハッカーに握られた社内PC 特命チーム暗闘の全貌 (朝日新聞, 2020/05/08 07:00)
https://digital.asahi.com/articles/ASN544T17N52ULZU00F.html
https://malware-log.hatenablog.com/entry/2020/05/08/000000_1

◆Japan investigates potential leak of prototype missile data in Mitsubishi hack (ZDNet, 2020/05/21 11:21 GMT)

The country is analyzing how such a leak could impact national security.

https://www.zdnet.com/article/japan-investigates-potential-leak-of-prototype-missile-design-in-mitsubishi-hack/
https://malware-log.hatenablog.com/entry/2020/05/21/000000_3

【ブログ】

■2016年

◆Tick cyberespionage group zeros in on Japan (Symantec, 2016/04/28)
https://www.symantec.com/connect/blogs/tick-cyberespionage-group-zeros-japan
http://malware-log.hatenablog.com/entry/2016/04/28/000000_4

◆日本を狙い始めたサイバースパイグループ「Tick」 (Symantec, 2016/05/01)

トロイの木馬 Daserf に感染させることを狙って、Web サイトへの侵入とスピア型フィッシングメールが利用されています

http://www.symantec.com/connect/ja/blogs/tick
http://malware-log.hatenablog.com/entry/2016/05/01/000000

◆APT Daserf (Jul Ismail, 2016/11/29)
APT Campaign Targets Japanese Critical Infrastructure
http://julismail.staff.telkomuniversity.ac.id/apt-daserf/
http://malware-log.hatenablog.com/entry/2016/11/29/000000


■2017年

◆SHADOWWALI: NEW VARIANT OF THE XXMM FAMILY OF BACKDOORS (CyberReason, 2017/04/25)
https://www.cybereason.com/blog/labs-shadowwali-new-variant-of-the-xxmm-family-of-backdoors
http://malware-log.hatenablog.com/entry/2018/08/01/212111

◆ビッグデータ時代に昔の手口で検知を逃れるマルウェア (Kaspersky, 2017/05/31)
https://blog.kaspersky.co.jp/old-malware-tricks-to-bypass-detection-in-the-age-of-big-data/15323/
http://malware-log.hatenablog.com/entry/2017/05/31/000000_5

◆BRONZE BUTLER Targets Japanese Enterprises (SecureWorks, 2017/10/12)
https://www.secureworks.com/research/bronze-butler-targets-japanese-businesses
http://malware-log.hatenablog.com/entry/2017/10/12/000000_6

◆REDBALDKNIGHT/BRONZE BUTLER’s Daserf Backdoor Now Using Steganography (Trendmicro, 2017/11/07 04:34)
http://blog.trendmicro.com/trendlabs-security-intelligence/redbaldknight-bronze-butler-daserf-backdoor-now-using-steganography/
http://malware-log.hatenablog.com/entry/2017/11/07/000000_3

◆標的型サイバー攻撃集団「BRONZE BUTLER」によるバックドア型マルウェア「DASERF」、ステガノグラフィを利用 (Trendmicro, 2017/11/14)
http://blog.trendmicro.co.jp/archives/16375
http://malware-log.hatenablog.com/entry/2017/11/14/000000_5


■2018年

◆日韓両国で展開されるターゲット型攻撃の実態 (Ahnlab, 2018/04/04)
https://jp.ahnlab.com/site/securitycenter/securitycenterboard/securityInsightView.do
http://malware-log.hatenablog.com/entry/2019/04/04/000000_4

◆Tick Group Weaponized Secure USB Drives to Target Air-Gapped Critical Systems (paloalto, 2018/06/22)
https://unit42.paloaltonetworks.com/unit42-tick-group-weaponized-secure-usb-drives-target-air-gapped-critical-systems/
https://malware-log.hatenablog.com/entry/2018/06/22/000000_4

◆Tick攻撃グループ、 セキュアUSB ドライブを兵器化し、インターネットから隔離された重要システムを標的に (Paloalto, 2018/06/27)
https://www.paloaltonetworks.jp/company/in-the-news/2018/unit42-tick-group-weaponized-secure-usb-drives-target-air-gapped-critical-systems
https://malware-log.hatenablog.com/entry/2018/06/27/000000_11

◆Tracking Tick Through Recent Campaigns Targeting East Asia (TALOS, 2018/10/18)
https://blog.talosintelligence.com/2018/10/tracking-tick-through-recent-campaigns.html
http://malware-log.hatenablog.com/entry/2018/10/18/000000_3

◆東アジアを標的にした最近のキャンペーンを通じて Tick を追跡 (Talos(CISCO), 2018/11/08)
https://gblogs.cisco.com/jp/2018/11/talos-tracking-tick-through-recent-campaigns/
https://malware-log.hatenablog.com/entry/2018/11/08/000000_6


■2019年

◆Operation ENDTRADE: Finding Multi-Stage Backdoors that TICK (Trendmicro, 2019/11/29 03:29)
https://blog.trendmicro.com/trendlabs-security-intelligence/operation-endtrade-finding-multi-stage-backdoors-that-tick/
https://malware-log.hatenablog.com/entry/2019/11/29/000000_6

◆ハッカー集団Tickによる日本のシンクタンクや広告代理店を狙った標的型攻撃について (みっきー申す, 2019/12/02)
https://micro-keyword.hatenablog.com/entry/2019/12/02/090704
https://malware-log.hatenablog.com/entry/2019/12/02/000000_3

◆サイバー攻撃集団「TICK」による「Operation ENDTRADE」 (Trendmicro, 2019/12/12)
https://blog.trendmicro.co.jp/archives/23107
https://malware-log.hatenablog.com/entry/2019/12/12/000000_11

【公開情報】

■ 2017年

◆日本企業を狙う高度なサイバー攻撃の全貌 – BRONZE BUTLER (SecureWorks, 2017/06/23)
https://www.secureworks.jp/resources/rp-bronze-butler
https://malware-log.hatenablog.com/entry/2017/06/23/000000_3

◆“Tick” Group Continues Attacks (UNIT42(paloalto), 2017/07/24 18:00)
https://researchcenter.paloaltonetworks.com/2017/07/unit42-tick-group-continues-attacks/
http://malware-log.hatenablog.com/entry/2017/07/24/000000_2

◆「Tick」グループによる日本や韓国への継続した巧妙な攻撃~ 日本企業の慣習にならい拡張子の変更をお願いする、ソーシャルエンジニアリング的手法を利用 (UNIT42(paloalto), 2017/07/24 18:00)
https://www.paloaltonetworks.jp/company/in-the-news/2017/tick-continues-cyber-espionage-attacks
http://malware-log.hatenablog.com/entry/2017/07/24/000000_2

◆マルウエアDatperをプロキシログから検知する(2017-08-17) (JPCERT/CC, 2017/08/17)
https://www.jpcert.or.jp/magazine/acreport-datper.html
http://malware-log.hatenablog.com/entry/2017/08/17/000000_5

■2019年

◆攻撃グループTickによる日本の組織をターゲットにした攻撃活動 (JPCERT/CC, 2019/02/19)
https://blogs.jpcert.or.jp/ja/2019/02/tick-activity.html
http://malware-log.hatenablog.com/entry/2019/02/19/000000_2

◆攻撃グループ「Tick」が過去10年間に東アジアで行ってきたサイバースパイ活動の実態 (AhnLab(AVAR 2019), 2019/11/07)
https://www.avar2019.org/jp/agenda/day-1/tick-tock-activities-of-the-tick-cyber-espionage-group-in-east-asia-over-the-las-10-years
https://malware-log.hatenablog.com/entry/2019/11/07/000000_4

■2020年

◆日本の製造業を狙うTickグループ (Macnica Networks, 2020/01/28)
https://www.macnica.net/mpressioncss/feature_05.html/
https://malware-log.hatenablog.com/entry/2020/01/28/000000_8

【資料】

■2016年

◆CYBER GRID VIEW Vol.2 PDF版 (Lac, 2016/08/02)
http://www.lac.co.jp/security/report/pdf/20160802_cgview_vol2_a001t.pdf
http://malware-log.hatenablog.com/entry/2016/08/02/000000


■2017年

◆ISTR 22 (Symantec, 2017/04)
https://www.symantec.com/content/dam/symantec/docs/reports/istr-22-2017-en.pdf
http://malware-log.hatenablog.com/entry/2017/04/30/000000_1

◆日本企業を狙う高度なサイバー攻撃の全貌 – BRONZE BUTLER (SecureWorks, 2017/06/23)
https://www.secureworks.jp/resources/rp-bronze-butler
https://malware-log.hatenablog.com/entry/2017/06/23/000000_3

◆REDBALDKNIGHT/BRONZE BUTLER’s Daserf Backdoor Now Using Steganography (Trendmicro, 2017/11/07)
https://documents.trendmicro.com/assets/appendix-redbaldknight-bronze-butler-daserf-backdoor-steganography.pdf
http://malware-log.hatenablog.com/entry/2017/11/07/000000_3

◆JPCERT/CCが見た、標的型攻撃の実態 (久保啓司, 2017/11/28)
https://www.nic.ad.jp/ja/materials/iw/2017/proceedings/d1/d1-1-kubo.pdf
http://malware-log.hatenablog.com/entry/2017/11/28/000000_7


■2018年

◆日本を狙うサイバーエスピオナージ (標的型攻撃)の動向 2018 年上半期 (Macnica Networks, 2018/10/01)
https://www.macnica.net/file/mpressioncss_2018-1h-report_mnc_rev3_nopw.pdf


■2019年

◆Tick グループの最新攻撃事例分析 (Ahmlab, 2019/04/22)
https://jp.ahnlab.com/global/upload/download/asecreport/PressAhn_Vol64.pdf
https://malware-log.hatenablog.com/entry/2019/04/22/000000_5

◆Tick Tock - Activities of hte Tick Cyber Espionage Group in EastAsia Over the last 10 Years (AhnLab, 2019/11/26)
https://www.slideshare.net/JackyMinseokCha/tick-group-avar2019-20191111-cha-minseokpublish
https://malware-log.hatenablog.com/entry/2019/11/26/000000_4

◆Operation ENDTRADE: TICK’s Multi-Stage Backdoors for Attacking Industries and Stealing Classified Data (Trendmicro, 2019/11/29)
https://documents.trendmicro.com/assets/pdf/Operation-ENDTRADE-Tick-Multi-Stage-Backdoors-for-Attacking-Industries-and-Stealing-Classified-Data.pdf
https://malware-log.hatenablog.com/entry/2019/11/29/000000_7

◆標的型攻撃の実態と対策アプローチ 第4版 (Macnica Networks, 2020/05/26)
https://www.macnica.net/mpressioncss/feature_06.html/
https://malware-log.hatenablog.com/entry/2020/05/26/000000_4

【IoC情報】

◆Daserf (IoC (TT Malware Log), 2017/07/24)
https://ioc.hatenablog.com/entry/2017/07/24/000000

◆HomamDownloader (IoC (TT Malware Log), 2017/07/24)
https://ioc.hatenablog.com/entry/2017/07/24/000000_1

◆Custom Gh0st (IoC (TT Malware Log), 2017/07/24)
https://ioc.hatenablog.com/entry/2017/07/24/000000_2

◆Gh0stRAt Downloader (IoC (TT Malware Log), 2017/07/24)
https://ioc.hatenablog.com/entry/2017/07/24/000000_3

◆NamelessHdoor (IoC (TT Malware Log), 2017/07/24)
https://ioc.hatenablog.com/entry/2017/07/24/000000_4

◆Minzen (IoC (TT Malware Log), 2017/07/24)
https://ioc.hatenablog.com/entry/2017/07/24/000000_5

◆9002 (IoC (TT Malware Log), 2017/07/24)
https://ioc.hatenablog.com/entry/2017/07/24/000000_6

◆Invader (IoC (TT Malware Log), 2017/07/24)
https://ioc.hatenablog.com/entry/2017/07/24/000000_7

◆Datper (IoC (TT Malware Log), 2017/07/24)
https://ioc.hatenablog.com/entry/2017/07/24/000000_8

◆Datper (IoC (TT Malware Log))
https://ioc.hatenablog.com/entry/2017/08/17/000000

◆MSGet downloader (IoC (TT Malware Log), 2017/10/12)
https://ioc.hatenablog.com/entry/2017/10/12/000000

◆VBE downloader (IoC (TT Malware Log), 2017/10/12)
https://ioc.hatenablog.com/entry/2017/10/12/000000_1

◆Daserf(Visual C) (IoC (TT Malware Log), 2017/10/12)
https://ioc.hatenablog.com/entry/2017/10/12/000000_2

◆Daserf(Delphi) (IoC (TT Malware Log), 2017/10/12)
https://ioc.hatenablog.com/entry/2017/10/12/000000_3

◆Datper (IoC (TT Malware Log), 2017/10/12)
https://ioc.hatenablog.com/entry/2017/10/12/000000_4

◆xxmm (IoC (TT Malware Log), 2017/10/12)
https://ioc.hatenablog.com/entry/2017/10/12/000000_5

◆xxmm downloader (IoC (TT Malware Log), 2017/10/12)
https://ioc.hatenablog.com/entry/2017/10/12/000000_6

◆DGet (IoC (TT Malware Log), 2017/10/12)
https://ioc.hatenablog.com/entry/2017/10/12/000000_7

◆RarStar (IoC (TT Malware Log), 2017/10/12)
https://ioc.hatenablog.com/entry/2017/10/12/000000_8

◆Tick (IoC (TT Malware Log), 2019/02/19)
https://ioc.hatenablog.com/entry/2019/02/19/000000

◆Tick (IoC (TT Malware Log), 2019/02/22)
https://ioc.hatenablog.com/entry/2019/02/22/000000

◆Tick (IoC (TT Malware Log), 2019/11/29)
https://ioc.hatenablog.com/entry/2019/11/29/000000

【図表】

f:id:tanigawa:20180904201703p:plain
f:id:tanigawa:20190130184513p:plain
f:id:tanigawa:20190130184421p:plain
出典: https://internet.watch.impress.co.jp/docs/news/1099223.html

f:id:tanigawa:20190130174604j:plain
BRONZE BUTLERが使うマルウェアの変遷(出典:Secureworks)
出典: http://www.itmedia.co.jp/enterprise/articles/1710/16/news050.html

f:id:tanigawa:20180904163416p:plain
「[wali]」セクションの文字列
f:id:tanigawa:20180904163426p:plain
「wali.exe」のファイル名
出典: https://blog.kaspersky.co.jp/old-malware-tricks-to-bypass-detection-in-the-age-of-big-data/15323/

f:id:tanigawa:20170129182638j:plain
出典: http://scan.netsecurity.ne.jp/article/img/2016/08/03/38799/20656.html

f:id:tanigawa:20180904202505j:plain
出典: https://internet.watch.impress.co.jp/docs/news/756214.html

f:id:tanigawa:20190130185003p:plain
最近の日本に対する攻撃で見つかった感染チェーン
f:id:tanigawa:20190130185318p:plain
地域別の Daserf 感染数
出典: https://www.symantec.com/connect/nl/blogs/tick?page=1

f:id:tanigawa:20190126150534p:plain
出典: https://www.symantec.com/connect/blogs/tick-cyberespionage-group-zeros-japan

f:id:tanigawa:20190415181733p:plain
出典: https://jp.ahnlab.com/site/securitycenter/securitycenterboard/securityInsightView.do

f:id:tanigawa:20191202172605j:plain
全国政治協商会議からみる中国動向(資料出典:サイント)
f:id:tanigawa:20191202172249j:plain
日本から見た脅威アクターの連携の可能性(資料出典:サイント)
f:id:tanigawa:20191202172642j:plain
サイントが観測した2018年以降の戦略支援部隊の標的分野(資料出典:サイント)
出典: https://enterprisezine.jp/article/detail/12300

f:id:tanigawa:20200121063502p:plain
「エンドトレード作戦」で利用されたマルウェア
f:id:tanigawa:20200121063512p:plain
巧みな日本語で書かれた標的型メールの例
出典: https://blog.trendmicro.co.jp/archives/23107

f:id:tanigawa:20200129065818p:plain
出典: https://www.macnica.net/mpressioncss/feature_05.html/

f:id:tanigawa:20200227181622p:plain
2018年、2019年に攻撃を観測した業種
f:id:tanigawa:20200227181713p:plain
配送されたファイル
f:id:tanigawa:20200129065818p:plain
Tickの活動タイムライン
f:id:tanigawa:20200129070852p:plain
攻撃フロー
出典: https://www.macnica.net/mpressioncss/feature_05.html/

時期 対象 攻撃手法
2013年2月 不明 Flash 脆弱性(CVE-2013-0633、CVE-2013-0634)を利用した攻撃
2014年3月 韓国 - 防衛産業 Netboy 変形で攻撃。韓国で多数の感染報告
2015年1月 韓国 - 大企業 A Bisodown 変形で攻撃
2015年5月 韓国 - 大企業 B Netboy 変形で攻撃
2015年6月 アジア - 金融機関 確認不可
2016年2月 韓国 - 海洋産業 Daserf 変形で攻撃。2016年6月、韓国のキャリアで発見された Daserfマルウェアと同じ
2016年6月 日本 - 旅行会社 LAC レポートによる
2016年6月 韓国 - キャリア Daserf 変形で攻撃
2016年9月 韓国 - エネルギー Datper 変形で攻撃
2016年12月 日本 - 企業 日本の資産管理ソフトウェアの脆弱性(CVE-2016-7836)を攻撃して感染
2017年4月 韓国 - 未確認 2018年パロアルトユニット42を通じて韓国のセキュアUSBへの攻撃が知られた
2018年5月 韓国 - 国防分野推定 Bisodown 変形で攻撃。軍事関連内容に偽装したファイル(decoy)などからみて国防分野の関係者がターゲットと推定される
2018年5月 韓国 - 政治機関 Bisodown 利用攻撃
2018年8月 韓国 - 国防分野 Bisodown 変形で攻撃。感染システムで Linkinfo.dllファイル名を持つ Keyloggerと一緒に発見
2018年9月 韓国 - 政治機関 Datper 変形で攻撃
2019年1月 韓国 - 情報セキュリティ JPCERT で 2019年2月に公開した Datper 変形で攻撃
2019年1月 韓国 - Webホスティング 2019年1月、韓国のセキュリティベンダーで発見されたマルウェアと同じ
2019年2月 韓国 - 電子部品 JPCERTで2019年2月に公開した Datper 変形で攻撃
2019年2月 韓国-ITサービス 2019年2月、韓国の電子部品の攻撃マルウェアと同じ Datper 変形で攻撃
【関連情報】

◆Lilith (werkamsus, 2019/09/19)
https://malware-log.hatenablog.com/entry/2019/11/29/000000_14

【Twitter検索】

◆#redbaldknight
https://twitter.com/hashtag/redbaldknight

◆#tick
https://twitter.com/hashtag/Tick

関連情報

【関連まとめ記事】

全体まとめ
 ◆攻撃組織 / Actor (まとめ)

◆標的型攻撃組織 / APT (まとめ)
https://malware-log.hatenablog.com/entry/APT

◆Daserf (まとめ)
http://malware-log.hatenablog.com/entry/Daserf

◆Datper (まとめ)
http://malware-log.hatenablog.com/entry/Datper

【攻撃手法】

【セキュアUSBドライブ】

◆Tick Group Weaponized Secure USB Drives to Target Air-Gapped Critical Systems (paloalto, 2018/06/22)
https://unit42.paloaltonetworks.com/unit42-tick-group-weaponized-secure-usb-drives-target-air-gapped-critical-systems/
https://malware-log.hatenablog.com/entry/2018/06/22/000000_4

◆攻撃グループ「Tick」、資産管理ソフトへの脆弱性攻撃を継続 - 標的型攻撃も (Security NEXT, 2019/02/22)
http://www.security-next.com/102741
http://malware-log.hatenablog.com/entry/2019/02/22/000000_1

◆Tick攻撃グループ、 セキュアUSB ドライブを兵器化し、インターネットから隔離された重要システムを標的に (Paloalto, 2018/06/27)
https://www.paloaltonetworks.jp/company/in-the-news/2018/unit42-tick-group-weaponized-secure-usb-drives-target-air-gapped-critical-systems
https://malware-log.hatenablog.com/entry/2018/06/27/000000_11

◆Tick APTハッキンググループ、韓国の防衛産業が作成したセキュリティUSBターゲットに攻撃 (Dailysecu, 2018/06/27 22:07)
https://www.dailysecu.com/news/articleView.html?idxno=35901
https://malware-log.hatenablog.com/entry/2018/06/27/000000_10


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2020