本ブログは米国で2019年02月04日に公開されたUnit 42ブログ「menuPass Playbook and IOCs」の日本語翻訳です。

2018年12月20日、米国司法省は、2人の中国人をコンピュータハッキング、電信詐欺の謀略、および個人情報窃取の罪で起訴 しました。この2人は、menuPass(別名APT10/Stone Panda/Red Apollo/CVNX/Potassium)として知られるハッキンググループのメンバーであるとされており、起訴状によれば、中国国家安全保障省の要請で違法行為を行ったとされています。起訴状の告発は2014年に開始された Operation Cloud Hopper と呼ばれる長期攻撃キャンペーンに端を発しており、主にMSP(Managed Security Provider)を標的にMSPとクライアントの知的財産を窃取するほか、さらなる攻撃にもネットワークを利用しています。US-CertもTA17-117ATA18-276Bの 2つの勧告を公表ししています。1つ目の勧告は活動の詳細、2つ目の勧告はMSPと顧客に対する保護、検出、および修復に関するアドバイスです。

侵害対象組織は世界中に広がっており、その業界は銀行、金融、医療および医療機器、政府、航空宇宙、防衛、電気通信、消費者家電などです。 menuPassのハッキング活動は2006年という早い時期から始まり、今日に至るまで続いています。 2014年以来、彼らは日本にとくに関心を示しています。

同グループは2006年頃から活動しており、世界中のヘルスケア、防衛、航空宇宙、政府機関をターゲットにしています。また少なくとも2014年以降は、日本人を被害のターゲットにしています。2016年、2017年に同グループはマネージドITサービスプロバイダ(MSP)、製造、仮想通貨マイニング関連企業、大学をターゲットにしています。

Unit 42は同攻撃グループとの関連を確認したすべてのIOCを公開しますので、セキュリティ担当者の皆さんは menuPassの使うマルウェアや攻撃基盤を網羅的にまとめたこちらのリストをご活用ください。また私たちはmenuPassのPlaybookも発行しています。こちらは2016年末からの活動に基づくものとなっています。記載されている攻撃は、米国司法省が指摘した時間枠内に発生し、起訴状に記載されているTTP(戦術、技術、手順)と一致しています。

パロアルトネットワークス製品をご利用のお客様について、すべてのマルウェアとインフラストラクチャは、当社のプラットフォーム上で悪意のあるものとして正しく検出されます。Threat Prevention、WildFire、TrapsおよびPAN-DBでは、すべての攻撃関連ドメイン、サンプル、C2インフラストラクチャについて適切に悪意があるものとフラグ付けされます。

AutoFocusをお使いのお客様は、当該攻撃者グループを次のタグでさらに詳しく調査できます。

US-CERT_TA17-117A

Operation Cloud Hopper

menuPass

RedLeaves

ChChes

Anel

以下のマルウェアファミリは複数のグループが使用しているので、ネットワーク内に存在していても必ずしもmenuPassとの関連を意味しません。ただしこれらが見つかった場合ネットワーク侵害の可能性があるので調査が必要です。

EvilGrab

PlugX

Poison Ivy

QuasarRAT


 

パロアルトネットワークス管理者ガイド日本語版

このガイドで、パロアルトネットワークスのファイアウォールのWeb管理画面の使用方法を説明します。対象は設置、運用管理、メンテナンスを行うシステム管理者向けです。 ※このページで提供する管理者ガイドが最新版でない可能性があります。最新版に関しては、製品をご購入された販売代理店にご相談ください。  
  • 5
  • 19126

PA-3200 Series スペックシート

パロアルトネットワークス® PA-3200 Series の次世代ファイアウォールは、PA-3260、PA-3250、およびPA-3220 で構成されています。これらのモデルはすべて高速の インターネット ゲートウェイでの導入を目的としたものです。PA-3200 Seriesはネットワーキング、セキュリティ、脅威防御および管理のための専用処理およびメモリ を使用して、暗号化トラフィックを含むすべてのトラフィックを保護します。
  • 0
  • 4762

2018年のサイバー脅威の振り返りと2019年の予測

パロアルトネットワークス脅威インテリジェンスチームUnit 42の調査結果やパロアルトネットワークスのセキュリティソリューションをもとに、国内外のサイバー脅威について振り返りつつ、2019年にはどのようなサイバー脅威に対して注意を払うべきか解説します。
  • 1
  • 1197

PA-800 Series

主なセキュリティ機能: すべてのアプリケーションをすべてのポートで常時識別 • 使用されているポートや暗号化(SSLまたはSSH)、セキュリティの回避技術に関わらず、アプリケーションを識別します。 • 許可、拒否、スケジュール、スキャン、帯域制御の適用などのセキュリティ ポリシー決定の要素として、ポートではなくアプリケーションを使用します。 • 不明なアプリケーションを、ポリシー制御、脅威のフォレンジック、またはApp-ID™アプリケーション識別テクノロジの開発が行えるよう分類します。
  • 1
  • 12219

PA-3000 Series スペックシート

PA-3000シリーズの主な機能、パフォーマンスと容量、および仕様。
  • 1
  • 9817