TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究・参照ログ

Triton / Trisis (まとめ)

【要点】

◎制御システムをターゲットにするマルウェア、攻撃インフラ


【ニュース】

◆産業制御システム(ICS)への新たな攻撃フレームワーク「TRITON」が重要インフラの運用停止を誘発 (FireEye)
https://www.fireeye.jp/company/press-releases/2017/attackers-deploy-new-ics-attack-framework-triton.html
http://malware-log.hatenablog.com/entry/2017/12/14/000000_3

◆Attackers Deploy New ICS Attack Framework “TRITON” and Cause Operational Disruption to Critical Infrastructure (FireEye, 2017/12/14)
https://www.fireeye.com/blog/threat-research/2017/12/attackers-deploy-new-ics-attack-framework-triton.html
http://malware-log.hatenablog.com/entry/2017/12/14/000000_3

◆産業制御システムを狙うマルウェア「TRITON」、国家が関与した可能性 (ITmedia, 2017/12/18 07:00)

緊急停止システムを狙うTRITONは、安全対策の作動を阻止して、物理的な損害を生じさせ得るという点で、国家の関与が指摘される過去の攻撃と特徴が一致しているとFireEyeは分析する

http://www.itmedia.co.jp/enterprise/articles/1712/18/news048.html
http://malware-log.hatenablog.com/entry/2017/12/18/000000_1

◆産業制御システム狙う新マルウェア「TRITON」、国家が関与か (2017/12/18, 11:41)
https://japan.zdnet.com/article/35112076/
https://malware-log.hatenablog.com/entry/2017/12/18/000000_4

◆マルウェア「Triton」で工場制御システムが乗っ取られる事例が発生。安全装置作動し操業が一時停止 (engadget, 2017/12/18 12:20)
http://japanese.engadget.com/2017/12/17/triton/
http://malware-log.hatenablog.com/entry/2017/12/19/000000_8

◆産業システムを狙うマルウェア「TRITON」--ゼロデイ脆弱性を利用 (ZDNet, 2018/01/22 14:26)
https://japan.zdnet.com/article/35113469/
http://malware-log.hatenablog.com/entry/2018/01/22/000000

◆国家支援のハッカーによる12の悪質なサイバー攻撃 (ZDNet, 2018/09/17 08:30)
https://japan.zdnet.com/article/35125466/
http://malware-log.hatenablog.com/entry/2018/09/17/000000_2

◆重要なインフラ施設の安全装置を狙うマルウェア「TRITON」にロシアの研究機関が関与している可能性 (Gigazine, 2018/10/25 13:00)
https://gigazine.net/news/20181025-triton-malware-russia/
http://malware-log.hatenablog.com/entry/2018/10/25/000000_5

◆「TRITON」マルウェア利用のICS攻撃にロシアの国有研究機関が関与か--FireEye報告 (ZDNet, 2018/10/25 16:06)
https://japan.zdnet.com/article/35127532/
http://malware-log.hatenablog.com/entry/2018/10/25/000000_4

◆中東の産業プラントを襲った初の「殺人」マルウェアトリトンの恐るべき手口 (MIT Technology Review, 2019/03/29)
https://www.technologyreview.jp/s/131548/triton-is-the-worlds-most-murderous-malware-and-its-spreading/
http://malware-log.hatenablog.com/entry/2019/03/29/000000_5

◆TRITON Actor TTP Profile, Custom Attack Tools, Detections, and ATT&CK Mapping (FireEye, 2019/04/10)
https://www.fireeye.com/blog/threat-research/2019/04/triton-actor-ttp-profile-custom-attack-tools-detections.html
http://malware-log.hatenablog.com/entry/2019/04/10/000000_5

◆重要インフラ狙うマルウエア「トリトン」、新たな攻撃を確認 (AFP BB News, 2019/04/14 15:45)
https://www.afpbb.com/articles/-/3220731
https://malware-log.hatenablog.com/entry/2019/04/14/000000

◆TRISIS Group, Known for Physical Destruction, Targets U.S. Electric Companies (Threatpost, 2019/06/14)
https://threatpost.com/trisis-physical-destruction-electric-companies/145712/
https://malware-log.hatenablog.com/entry/2019/06/14/000000_9

◆中東襲った「殺人」マルウェア、米国・アジアの電力会社に照準か (Mit Technology Review, 2019/06/21)
https://www.technologyreview.jp/s/147736/hackers-behind-the-worlds-deadliest-code-are-probing-us-power-firms/
https://malware-log.hatenablog.com/entry/2019/06/21/000000


【ブログ】

◆Triton: New Malware Threatens Industrial Safety Systems (Symantec, 2017/12/15)
https://www.symantec.com/blogs/threat-intelligence/triton-malware-ics
http://malware-log.hatenablog.com/entry/2017/12/15/000000_4

◆Triton: 産業用の安全計装システムを狙う新しいマルウェアが出現 (Symantec, 2017/12/19)
https://www.symantec.com/connect/ja/blogs/triton-0
http://malware-log.hatenablog.com/entry/2017/12/19/000000_8

◆TRITON Attribution: Russian Government-Owned Lab Most Likely Built Custom Intrusion Tools for TRITON Attackers (FireEye, 2018/10/23)
https://www.fireeye.com/blog/threat-research/2018/10/triton-attribution-russian-government-owned-lab-most-likely-built-tools.html
http://malware-log.hatenablog.com/entry/2018/10/23/000000_1


【公開情報】

◆Triton: New Malware Threatens Industrial Safety Systems (Symantec, 2017/12/15)
https://www.symantec.com/blogs/threat-intelligence/triton-malware-ics
http://malware-log.hatenablog.com/entry/2017/12/15/000000_6


【図表】

f:id:tanigawa:20181120063955j:plain
Heatmap of TRITON attacker operating hours, represented in UTC time
出典: https://www.fireeye.com/blog/threat-research/2018/10/triton-attribution-russian-government-owned-lab-most-likely-built-tools.html

【インディケータ情報】

■ハッシュ情報(MD5)

6c39c3f4a08d3d78f2eb973a94bd7718 trilog.exe
437f135ba179959a580412e564d3107f imain.bin
0544d425c7555dc4e9d76b571f31f500 inject.bin
0face841f7b2953e7c29c064d6886523 library.zip
e98f4f3505f05bf90e17554fbc97bba9 TS_cnames.pyc
288166952f934146be172f6353e9a1f5 TsBase.pyc
27c69aa39024d21ea109cc9c9d944a04 TsHi.pyc
f6b3a73c8c87506acda430671360ce15 TsLow.pyc
8b675db417cc8b23f4c43f3de5c83438 sh.pyc


■ハッシュ情報(Sha256)

e8542c07b2af63ee7e72ce5d97d91036c5da56e2b091aa2afe737b224305d230 trilog.exe
08c34c6ac9186b61d9f29a77ef5e618067e0bc9fe85cab1ad25dc6049c376949 imain.bin
5fc4b0076eac7aa7815302b0c3158076e3569086c4c6aa2f71cd258238440d14 inject.bin
bef59b9a3e00a14956e0cd4a1f3e7524448cbe5d3cc1295d95a15b83a3579c59 library.zip
2c1d3d0a9c6f76726994b88589219cb8d9c39dd9924bc8d2d02bf41d955fe326 TS_cnames.pyc
1a2ab4df156ccd685f795baee7df49f8e701f271d3e5676b507112e30ce03c42 TsBase.pyc
758598370c3b84c6fbb452e3d7119f700f970ed566171e879d3cb41102154272 TsHi.pyc
5c776a33568f4c16fee7140c249c0d2b1e0798a96c7a01bfd2d5684e58c9bb32 TsLow.pyc
c96ed56bf7ee85a4398cc43a98b4db86d3da311c619f17c8540ae424ca6546e1 sh.pyc

Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2019