« マルウェア解析奮闘記 ~破損マルウェアを解析せよ~ | メイン | Maltegoによる偵察から見えるリスク ~VPN装置からの侵入に注意せよ~ »

2014年7月 3日 (木)

中国人民解放軍61486部隊(PUTTER PANDA)に関する情報

ブログ初投稿となる客員研究員の柳下です。一部国内でも既に報道されていますが、米国のCrowdStrike(クラウドストライク)社は、中国の上海を拠点に活動する中国人民解放軍61486部隊の攻撃者のレポートを公開しています。この攻撃者は、CrowdStrike社によってPUTTER PANDAと呼称されており、米政府の防衛部門や科学技術研究部門、とりわけ米国防総省と欧州の衛星技術/航空宇宙業界を標的にサイバースパイ活動を行ってきた事が報告されています。

CrowdStrike社のレポートでは、将来的な日本への攻撃にも言及されており、読者の皆様に注意喚起を促す事を目的に翻訳したレポートを公開します。

翻訳レポートは以下のページからお申し込みください。

http://www.macnica.net/crowdstrike/download.html/


CrowdStrike社では、この調査の過程で特定した人物や関連攻撃者が登録するドメインの追跡を行っており、その情報からこの攻撃者の将来的な日本企業への攻撃可能性に言及しています。また、弊社ではこの事だけでなく、この攻撃者からと思われるスピアフィッシュメール(日本語名の添付ファイル)を確認しています。

レポートには、PUTTER PANDAを検知できるYARAやSNORTのルール、またホスト・ネットワークのインディケータも記載されています。ホスト、ネットワークの機器のイベントをこれらインディケータに参照して、PUTTER PANDAからの攻撃を確認頂く事もできます。(現時点でのインディケータになりますので、ヒストリカルサーチなどでのご利用がおすすめです) 先進的なテクノロジーの技術情報の搾取が目的となりますので、科学技術、衛星/航空 宇宙の技術に関連したビジネスをしている方には、特に気をつけて頂きたいと思います。


CrowdStrike社ブログとYARAルールはこちら。
http://www.crowdstrike.com/blog/hat-tribution-pla-unit-61486/index.html

« マルウェア解析奮闘記 ~破損マルウェアを解析せよ~ | メイン | Maltegoによる偵察から見えるリスク ~VPN装置からの侵入に注意せよ~ »

Macnica Networks Corp.
セキュリティ研究センター

サイバーセキュリティに特化した研究を行うことを目的に2013年4月に開設。

■ミッション

・Threat Research

・Solution Research

・Education
 

小林 靖幸
マルウェアの動的解析と培養を担当。温和な見た目とは裏腹に、休日は鋭い眼光でサイバー空間の監視を行う一人SOCで活動中。好きなデバッガーはx64dbg。

竹内 寛
リバースエンジニアリング(マルウェア解析)を担当。彼の手に渡ったマルウェアはまさに“まな板の上の鯉”と同じ。あとは解析されるがまま。最近の楽しみは、ハイボールを片手に海外ドラマを鑑賞するか、マントノン侯爵夫人に会うこと。好きなマシン語は、EB FE。

柳下 元
リバースエンジニアリング(マルウェア解析)を担当。動的解析では動いてくれないマルウェアの皮を一枚一枚剥がしていく職人技が持ち味。

凌 翔太
CTF、IoTハッキング、マルウェアペンテストツールの開発を担当。Black Hat/DEF CONにてツールを発表。セキュリティキャンプ講師、SECCON実行委員。

政本 憲蔵
インフラ分析とOSINT分析を担当。
Back Orifice/NetBusの時代からRATに興味を持ち現在に至る。好きなことはMaltego Transformの開発とレゴブロック。

BlackHat