最終更新日: 2021年08月06日

概要

中国の関与が疑われるサイバー攻撃グループ。
主に米国、ヨーロッパ、アジアの地域を攻撃の対象とし、ChChesやRedLeavesといったカスタムマルウェアを使用したことが確認されている。
マネージド・サービス・プロバイダ(MSP)を標的にし、MSPを踏み台にして顧客システムに侵入する「Operation Cloud Hopper」と呼ばれるキャンペーンや、「ZeroLogon」と呼ばれる脆弱性を悪用した日本企業を標的とするキャンペーンが確認されている。

サイバー攻撃グループ別名

• ・Menu Pass
• ・Stone Panda
• ・APT10
• ・BRONZE RIVERSIDE
• ・Cicada
• ・Cloud Hopper
• ・CVNX
• ・Hawkeye
• ・HOGFISH
• ・POTASSIUM
• ・Red Apollo
• ・TA410

過去の活動

• ・Cloud Hopper
• ・LookBack

関連するマルウェア

• ・ChChes
• ・RedLeaves
• ・SHIPSHAPE
• ・SPACESHIP
• ・FLASHFLOOD
• ・LookBack
• ・ANEL
• ・PlugX
• ・Quasar RAT
• ・UPPERCUTバックドア
• ・Backdoor.Hartip
• ・FlowCloud
• ・Ecipekac

動向

APT10：A41APTの活動内で発見された高度なマルチレイヤー型ローダー「Ecipekac」(2021/04/09)

Kasperskyが、日本企業を狙う「A41APT」と呼ばれる攻撃活動で使用されたマルチレイヤーのx64ローダー「Ecipekac」についての技術詳細を公表した。 A41APT活動において、Windows APIを使用するのではなく、マルウェア開発者による手動でのハッシュまたは暗号アルゴリズムを実装するなど、APT10の活動と複数の類似点が確認されており、同社はA41APTの活動の背後にAPT10が存在することにかなりの確度があると述べている。
https://blog.kaspersky.co.jp/apt10-sophisticated-multi-layered-loader-ecipekac-discovered-in-a41apt-campaign/30393/

Chinese hackers target Indian vaccine makers SII, Bharat Biotech, says security firm (2021/03/01)

APT10は、インドのワクチンメーカーである BharatBiotechとSerumInstitute of India(SII) のITシステムを標的としている。 同攻撃グループは、2社のITインフラストラクチャとサプライチェーンソフトウェアの脆弱性を発見したという。
https://jp.reuters.com/article/uk-health-coronavirus-india-china-idUKKCN2AT21E

Attack Activities by Quasar Family (2020/12/10)

Quasarは、オープンソースのRATであり、機能が豊富かつ簡単に利用できることから、多くの攻撃者に悪用されている。 APTグループによる複数の攻撃キャンペーンでも利用されており、APT10が、日本の組織を狙った標的型攻撃に利用しているケースも確認している。
https://blogs.jpcert.or.jp/ja/2020/12/quasar-family.html

Japan-Linked Organizations Targeted in Long-Running and Sophisticated Attack Campaign (2020/11/17)

APT10は、世界の17の地域にある日本企業を標的とした大規模な攻撃キャンペーンを行っている。 攻撃の対象となっているのは、自動車、製薬、エンジニアリング、マネージドサービスプロバイダーなど様々な業種の企業である。 同グループがこのキャンペーンにおいて、2020年8月に公開された「ZeroLogon」と呼ばれる脆弱性を悪用していることが確認された。
https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/cicada-apt10-japan-espionage

Gothic Panda and Stone Panda: Chinese Hackers that Launched Mass Cyber Attacks on Indian Companies (2020/07/26)

2020年6月、インドの企業に対するサイバー攻撃に関与したとして、Gothic PandaとStone Pandaという中国の2つのサイバー攻撃グループが特定された。 本攻撃は VPNサーバとプロキシサーバを装うことで攻撃を行ったという。
https://www.ehackingnews.com/2020/07/gothic-panda-and-stone-panda-chinese.html

TA410: The Group Behind LookBack Attacks Against U.S. Utilities Sector Returns with New Malware (2020/06/08)

Proofpointの研究者は、2019年7月から11月までのフィッシングキャンペーンを分析し、LookBackとFlowCloudの両マルウェアがTA410(APT10)に関連する可能性があると判断した。
https://www.proofpoint.com/us/blog/threat-insight/ta410-group-behind-lookback-attacks-against-us-utilities-sector-returns-new

Chinese State Hackers Suspected Of Devious New Attack On U.S. Companies (2019/09/23)

APT10は、米国の公益事業部門に対する攻撃の疑いが持たれている。 LookBackと呼ばれるこの攻撃は、専門の検査委員会からのメールであると称し、マルウェアが混入したMicrosoftWordの添付ファイルを配信するスピアフィッシングメールを使用している。
https://www.forbes.com/sites/zakdoffman/2019/09/23/chinese-state-hackers-suspected-as-nasty-new-cyberattack-hits-us-utilities-report/

Exclusive: China hacked eight major computer services firms in years-long attack (2019/06/26)

APT10が「Cloud Hopper」と銘打ち、情報窃取目的で政府機関や企業に大規模なサイバー攻撃を仕掛けた問題で、日本企業を含む大手ハイテク企業8社がハッキング被害を受けていたことがわかった。
https://www.reuters.com/article/us-china-cyber-cloudhopper-companies-exc-idUSKCN1TR1D4

Operation Soft Cell: A Worldwide Campaign Against Telecommunications Providers(2019/06/25)

APT10等の中国政府との関連が疑われている攻撃グループが使用したことで知られるツールや攻撃手法を用いた電気通信事業者を標的とする攻撃を確認した。
https://www.cybereason.com/blog/operation-soft-cell-a-worldwide-campaign-against-telecommunications-providers

APT10 Targeted Norwegian MSP and US Campanies in Sustained Campaign (2019/02/06)

中国を拠点とするサイバー攻撃グループのAPT10が、ヨーロッパの企業にクラウドベースのビジネスソフトウェアを提供しているノルウェーの企業であるVismaからデータをハッキングして盗んだことが報告されている。
https://informationsecuritybuzz.com/expert-comments/apt10-targeted-norwegian/

※ 各会社名、団体名、商品名は各社、各団体の商品名称、または登録商標です。