• JP
  • magnifying glass search icon to open search field
  • お問い合わせ
  • リソースセンター
  • サポートを受ける
  • 現在、攻撃を受けていますか?
Palo Alto Networks logo
  • 製品
  • ソリューション
  • サービス
  • 業種
  • パートナー
  • パロアルトネットワークスをお勧めする理由
  • 会社案内
  • その他
  • JP
    Language
  • お問い合わせ
  • リソースセンター
  • サポートを受ける
  • 現在、攻撃を受けていますか?
  • スタート ガイド

『攻撃者のプレイブック』に新たに 11 グループを追加

Unit 42 8 01, 2019 at 03:30 午後

本ブログは米国で2019年07月30日に公開されたUnit 42ブログ「Unveiling 11 New Adversary Playbooks」の日本語翻訳です。


「アクションに落とし込める、本当に使える脅威インテリジェンスを提供する」という弊社ミッションの一環として、パロアルトネットワークス脅威インテリジェンスリサーチチームUnit 42は米国時間で2019 年7月30日、『Adversary Playbooks (攻撃者のプレイブック)』に新たに11の脅威攻撃者グループを追加して公開しました。

弊社は本プレイブックで攻撃者の使うTTP (ツール、テクニック、手順) を整理し、それを構造化した形式にすることで、共有しやすく処理しやすいものにしています。これまでに公開したプレイブックについては、弊社のPlaybook Viewerから確認できます。

今回新たに追加された攻撃グループについて以下簡単にご紹介します。

  • MuddyWater: 2019年春の BlackWater攻撃キャンペーンで同攻撃グループはTTPを変え、特定セキュリティ対策を回避しました。同グループはかつてFIN7のものとみなされていた、あるエスピオナージ攻撃キャンペーン活動に関与したことが、2017年11月、Unit 42により初めて報告されました。

  • Scarlet Mimic: 同グループはUnit 42が2016年はじめに発見したグループで、遅くとも2014年にはその活動をはじめていました。同グループによるエスピオナージ攻撃キャンペーンは主にチベットやウイグルの活動家を標的としており、Windows/Androidの一連のカスタムマルウェアを使うものです。

  • Inception: 遅くとも2014年には活動を開始していたグループで、カスタム マルウェアを使いさまざまなプラットフォームを対象にします。主にロシアの、ただし実際にはグローバルな、幅広い業種が標的とされています。2018年10月に同グループは新しいPowerShellバックドアとCVE-2017-11882を使ってヨーロッパを標的とした攻撃を行いました。

  • Windshift: 同グループの存在が最初に報告されたのは2018年10月で、その後2019年2月には、Unit 42が同グループに紐付けられた追加の標的情報および技術情報を共有しています。同グループの標的は中東が中心で、OS X システムのみが対象のカスタム マルウェアを使う点が特徴です。

  • Sofacy: 遅くとも2007年には活動を開始していたロシアに帰属するグループで、2018年10月なかばから11月なかばにかけ、世界各国の政府機関および民間組織を執拗に攻撃してきました。大部分の標的は NATO同盟国ですが、一部旧ソビエト連邦の諸国家も標的に含まれています。

  • Chafer: 遅くとも2015年には活動を開始していたエスピオナージ攻撃グループで、2018年11月にあるトルコ政府関連機関を標的としました。同グループの活動を調査中、Unit 42はPythonで書かれた新しい二次ペイロードを見つけ、これをMechaFlounderと命名しました。同攻撃グループによるPythonベースのペイロード使用をUnit 42が確認したのはこのときが初めてでした。

  • Gorgonグループ: 2018年8月にUnit 42のリサーチャーが発見した攻撃グループで、世界各国で数多くの攻撃活動を展開し、サイバー犯罪、標的型攻撃の両方に関与しています。発見の契機となったのは、Unit 42が2017年から追跡していた、おそらく同グループの一員と見られるSubaatという攻撃者の監視でした。

  • Cobalt Gang: 2018年10月、同グループによる商用マルウェアを使った攻撃を調査するなかで、ある共通のマクロビルダと特定の文書メタデータとをUnit 42が特定し、ここから一まとまりの新しい活動とインフラを追跡することができました。

  • Th3bug: 2014年夏、このサイバー標的攻撃グループは複数のwebサイトを侵害し、水飲み場攻撃に利用しました。正規webサイトを侵害し、マルウェアをインストールしてサイト訪問者を感染させるという手法から、水飲み場攻撃はきわめて成功率の高い攻撃です。この種の攻撃で狙われやすいのは、攻撃者が標的とした特定業種からの訪問者が多いwebサイトや、攻撃者が標的とした特定の政見を持つ人々の間で人気のあるwebサイトです。

  • Rocke: 2019年1月、中国をベースとするこのサイバー犯罪グループが、既存のLinux用暗号通貨マイニング マルウェアに新たなコードを追加し、侵害されたサーバーから5つの異なるクラウド セキュリティ保護監視製品をアンインストールすることを、Unit 42が突き止めました。アンインストールされたのはTencent CloudとAlibaba Cloud (Aliyun)が開発した製品で、同2社は中国におけるクラウドプロバイダのトップ企業として、今やそのビジネスを世界中に広げつつあります。クラウドセキュリティ製品を狙ってアンインストールするという特異な機能を持つマルウェア ファミリを確認したのは、Unit 42 ではこれが初めてでした。

  • CozyDuke: 遅くとも2008年には活動を始めていたロシアに帰属するエスピオナージ攻撃グループで、2015年7月上旬からスピアフィッシング攻撃キャンペーンを開始しており、のちに私たちがMiniDionisと名付けた新しいマルウェアをこのキャンペーンで利用しました。この新しいマルウェアは同グループのSeadukeマルウェアとも関連があり、民主主義国家の政府機関やシンクタンクを標的にしている様子が伺えました。また、同スピアフィッシング攻撃やC2活動には、侵害された正規webサイトが使われていました。

この続きはぜひAdversary Playbooksでご覧ください。

パロアルトネットワークスは本稿で見つかったファイルサンプルや侵害の兆候などをふくむ調査結果をCyber Threat Alliance(CTA サイバー脅威アライアンス)のメンバーと共有しました。CTA のメンバーはこのインテリジェンスを使用して、お客様に保護を迅速に提供し、悪意のあるサイバー攻撃者を体系的に阻害することができます。Cyber Threat Allianceの詳細については、次のWebサイトをご覧ください: www.cyberthreatalliance.org

 

ニュース

Wireshark によるパケット解析講座 1

Wireshark は無料で利用できるプロトコル アナライザです。 Wireshark を使うとネットワーク トラフィックをキャプチャしたり、キャプチャしたパケットを表示させることができます。そこでパロアルトネットワークスの脅威インテリジェンス調査チーム Unit42 に所属するアナリストが、Wireshark を使ってマルウェア検体が生成したトラフィックをレビューするさいに利用している便利な使いかたをご紹介していきます。
January 17, 2019

ニュース

Wireshark によるパケット解析講座 3

前回までではWiresharkの列表示のカスタマイズ方法と表示フィルタの式について見ていきました。本稿ではトラフィックから感染ないし侵害を受けたホスト名やユーザーを特定する方法について説明します。
March 31, 2019

ニュース

Wireshark によるパケット解析講座 2

前回は Wiresharkの列表示のカスタマイズ方法について見ていきました。本稿では脅威インテリジェンスの調査上便利なフィルタリングの設定方法について説明します。
January 20, 2019

ニュース

DNSトンネリング: 攻撃者はDNSをどう悪用するのか

悪意のある攻撃者は、ドメインネームサービス(DNS)をコマンド&コントロール(C2)用通信チャネルとして悪用してきました。またこのプロトコルはこのほかに、データを漏出させる目的でも悪用されてきました。DNS の悪用はC2に「ハートビート」接続のために通信するという用途からさらに広がっており、攻撃者はここ数年、悪意のあるデータやペイロードをDNS経由で被害者のシステムに侵入させる用途にもDNSを使っています。本稿では、DNSを悪用したデータ侵入・漏出の種類、方法、使用方法を紹介し、その防御メカニズムへの指針を示します。
March 18, 2019

ニュース

Wireshark によるパケット解析講座 4

セキュリティ専門家は、不審なアクティビティのパケット キャプチャ(pcap)をレビューする際、より詳しく調べるために、オブジェクトをpcapからエクスポートしなければならない場合があります。
July 12, 2019

データシート

PA-400シリーズ

パロアルトネットワークスの機械学習を活用したNGFW「PA-400 Series (PA-460、PA-450、PA-440)」なら、分散した大企業の支社、小売店、中規模企業にも次世代ファイアウォール機能を導入できます。
August 3, 2022

最新ニュース、イベント情報、脅威アラートを配信

このフォームを送信すると、お客様は弊社の利用規約とプライバシー ポリシーに同意したものとみなされます。

black youtube icon black twitter icon black facebook icon black linkedin icon
  • USA (ENGLISH)
  • AUSTRALIA (ENGLISH)
  • BRAZIL (PORTUGUÉS)
  • CANADA (ENGLISH)
  • CHINA (简体中文)
  • FRANCE (FRANÇAIS)
  • GERMANY (DEUTSCH)
  • INDIA (ENGLISH)
  • ITALY (ITALIANO)
  • JAPAN (日本語)
  • KOREA (한국어)
  • LATIN AMERICA (ESPAÑOL)
  • MEXICO (ESPAÑOL)
  • SINGAPORE (ENGLISH)
  • SPAIN (ESPAÑOL)
  • TAIWAN (繁體中文)
  • UK (ENGLISH)

人気のあるリソース

  • 会社概要
  • イベント センター
  • イベント
  • リソースセンター
  • プレスリリース
  • Unit42 ブログ
  • 投資家の皆様へ
  • ブログ
  • Japan Live Community
  • Tech Docs
  • キャリア
  • お問い合わせ
  • サイトマップ

法定通知

  • プライバシー
  • 個人情報保護基本方針
  • 利用規約
  • トラスト センター
  • ドキュメント
  • 一般事業主行動計画

アカウント

  • 購読の管理
  • パートナーログイン
  • パートナーになる
脆弱性の報告

Copyright © 2023 Palo Alto Networks. All rights reserved