【要点】
◎制御システムをターゲットにするマルウェア、攻撃インフラ
【ニュース】
◆産業制御システム(ICS)への新たな攻撃フレームワーク「TRITON」が重要インフラの運用停止を誘発 (FireEye)
https://www.fireeye.jp/company/press-releases/2017/attackers-deploy-new-ics-attack-framework-triton.html
⇒ http://malware-log.hatenablog.com/entry/2017/12/14/000000_3
◆Attackers Deploy New ICS Attack Framework “TRITON” and Cause Operational Disruption to Critical Infrastructure (FireEye, 2017/12/14)
https://www.fireeye.com/blog/threat-research/2017/12/attackers-deploy-new-ics-attack-framework-triton.html
⇒ http://malware-log.hatenablog.com/entry/2017/12/14/000000_3
◆産業制御システムを狙うマルウェア「TRITON」、国家が関与した可能性 (ITmedia, 2017/12/18 07:00)
緊急停止システムを狙うTRITONは、安全対策の作動を阻止して、物理的な損害を生じさせ得るという点で、国家の関与が指摘される過去の攻撃と特徴が一致しているとFireEyeは分析する
http://www.itmedia.co.jp/enterprise/articles/1712/18/news048.html
⇒ http://malware-log.hatenablog.com/entry/2017/12/18/000000_1
◆産業制御システム狙う新マルウェア「TRITON」、国家が関与か (2017/12/18, 11:41)
https://japan.zdnet.com/article/35112076/
⇒ https://malware-log.hatenablog.com/entry/2017/12/18/000000_4
◆マルウェア「Triton」で工場制御システムが乗っ取られる事例が発生。安全装置作動し操業が一時停止 (engadget, 2017/12/18 12:20)
http://japanese.engadget.com/2017/12/17/triton/
⇒ http://malware-log.hatenablog.com/entry/2017/12/19/000000_8
◆産業システムを狙うマルウェア「TRITON」--ゼロデイ脆弱性を利用 (ZDNet, 2018/01/22 14:26)
https://japan.zdnet.com/article/35113469/
⇒ http://malware-log.hatenablog.com/entry/2018/01/22/000000
◆国家支援のハッカーによる12の悪質なサイバー攻撃 (ZDNet, 2018/09/17 08:30)
https://japan.zdnet.com/article/35125466/
⇒ http://malware-log.hatenablog.com/entry/2018/09/17/000000_2
◆重要なインフラ施設の安全装置を狙うマルウェア「TRITON」にロシアの研究機関が関与している可能性 (Gigazine, 2018/10/25 13:00)
https://gigazine.net/news/20181025-triton-malware-russia/
⇒ http://malware-log.hatenablog.com/entry/2018/10/25/000000_5
◆「TRITON」マルウェア利用のICS攻撃にロシアの国有研究機関が関与か--FireEye報告 (ZDNet, 2018/10/25 16:06)
https://japan.zdnet.com/article/35127532/
⇒ http://malware-log.hatenablog.com/entry/2018/10/25/000000_4
◆中東の産業プラントを襲った初の「殺人」マルウェアトリトンの恐るべき手口 (MIT Technology Review, 2019/03/29)
https://www.technologyreview.jp/s/131548/triton-is-the-worlds-most-murderous-malware-and-its-spreading/
⇒ http://malware-log.hatenablog.com/entry/2019/03/29/000000_5
◆TRITON Actor TTP Profile, Custom Attack Tools, Detections, and ATT&CK Mapping (FireEye, 2019/04/10)
https://www.fireeye.com/blog/threat-research/2019/04/triton-actor-ttp-profile-custom-attack-tools-detections.html
⇒ http://malware-log.hatenablog.com/entry/2019/04/10/000000_5
◆重要インフラ狙うマルウエア「トリトン」、新たな攻撃を確認 (AFP BB News, 2019/04/14 15:45)
https://www.afpbb.com/articles/-/3220731
⇒ https://malware-log.hatenablog.com/entry/2019/04/14/000000
◆TRISIS Group, Known for Physical Destruction, Targets U.S. Electric Companies (Threatpost, 2019/06/14)
https://threatpost.com/trisis-physical-destruction-electric-companies/145712/
⇒ https://malware-log.hatenablog.com/entry/2019/06/14/000000_9
◆中東襲った「殺人」マルウェア、米国・アジアの電力会社に照準か (Mit Technology Review, 2019/06/21)
https://www.technologyreview.jp/s/147736/hackers-behind-the-worlds-deadliest-code-are-probing-us-power-firms/
⇒ https://malware-log.hatenablog.com/entry/2019/06/21/000000
【ブログ】
◆Triton: New Malware Threatens Industrial Safety Systems (Symantec, 2017/12/15)
https://www.symantec.com/blogs/threat-intelligence/triton-malware-ics
⇒ http://malware-log.hatenablog.com/entry/2017/12/15/000000_4
◆Triton: 産業用の安全計装システムを狙う新しいマルウェアが出現 (Symantec, 2017/12/19)
https://www.symantec.com/connect/ja/blogs/triton-0
⇒ http://malware-log.hatenablog.com/entry/2017/12/19/000000_8
◆TRITON Attribution: Russian Government-Owned Lab Most Likely Built Custom Intrusion Tools for TRITON Attackers (FireEye, 2018/10/23)
https://www.fireeye.com/blog/threat-research/2018/10/triton-attribution-russian-government-owned-lab-most-likely-built-tools.html
⇒ http://malware-log.hatenablog.com/entry/2018/10/23/000000_1
【公開情報】
◆Triton: New Malware Threatens Industrial Safety Systems (Symantec, 2017/12/15)
https://www.symantec.com/blogs/threat-intelligence/triton-malware-ics
⇒ http://malware-log.hatenablog.com/entry/2017/12/15/000000_6
【図表】
Heatmap of TRITON attacker operating hours, represented in UTC time
出典: https://www.fireeye.com/blog/threat-research/2018/10/triton-attribution-russian-government-owned-lab-most-likely-built-tools.html
【インディケータ情報】
■ハッシュ情報(MD5)
| 6c39c3f4a08d3d78f2eb973a94bd7718 | trilog.exe |
| 437f135ba179959a580412e564d3107f | imain.bin |
| 0544d425c7555dc4e9d76b571f31f500 | inject.bin |
| 0face841f7b2953e7c29c064d6886523 | library.zip |
| e98f4f3505f05bf90e17554fbc97bba9 | TS_cnames.pyc |
| 288166952f934146be172f6353e9a1f5 | TsBase.pyc |
| 27c69aa39024d21ea109cc9c9d944a04 | TsHi.pyc |
| f6b3a73c8c87506acda430671360ce15 | TsLow.pyc |
| 8b675db417cc8b23f4c43f3de5c83438 | sh.pyc |
■ハッシュ情報(Sha256)
| e8542c07b2af63ee7e72ce5d97d91036c5da56e2b091aa2afe737b224305d230 | trilog.exe |
| 08c34c6ac9186b61d9f29a77ef5e618067e0bc9fe85cab1ad25dc6049c376949 | imain.bin |
| 5fc4b0076eac7aa7815302b0c3158076e3569086c4c6aa2f71cd258238440d14 | inject.bin |
| bef59b9a3e00a14956e0cd4a1f3e7524448cbe5d3cc1295d95a15b83a3579c59 | library.zip |
| 2c1d3d0a9c6f76726994b88589219cb8d9c39dd9924bc8d2d02bf41d955fe326 | TS_cnames.pyc |
| 1a2ab4df156ccd685f795baee7df49f8e701f271d3e5676b507112e30ce03c42 | TsBase.pyc |
| 758598370c3b84c6fbb452e3d7119f700f970ed566171e879d3cb41102154272 | TsHi.pyc |
| 5c776a33568f4c16fee7140c249c0d2b1e0798a96c7a01bfd2d5684e58c9bb32 | TsLow.pyc |
| c96ed56bf7ee85a4398cc43a98b4db86d3da311c619f17c8540ae424ca6546e1 | sh.pyc |