ページの本文へ

Hitachi

日立システムズ SHIELD Security Research Center

サイバー攻撃グループ情報(Tick、BRONZE BUTLER、GRASSCARP)

最終更新日: 2021年05月20日

概要

中国政府の関与が疑われているサイバー攻撃グループ。
主に日本や韓国の防衛、重要インフラを担う企業や官公庁を標的に攻撃活動をしており、2006年には活動していたとみられている。
過去に日本の資産管理ソフトウェアの脆弱性を悪用した攻撃や、日本企業を標的とするOperation ENDTRADEと呼ばれるスピアフィッシング攻撃を行っている。

サイバー攻撃グループ別名

  • ・Tick
  • ・BRONZE BUTLER
  • ・GRASSCARP
  • ・RedBaldKnight



過去の活動

  • ・Operation ENDTRADE



関連するマルウェア

  • ・Datper
  • ・Daserf
  • ・down_new
  • ・Avenger
  • ・Invader
  • ・Minzen
  • ・9002
  • ・Gh0stRAT
  • ・XXMM
  • ・Gofarer



動向

JAXAなどに大規模なサイバー攻撃 中国人民解放軍の指示か (2021/04/20)

JAXA(宇宙航空研究開発機構)が2016年にサイバー攻撃を受けていたことがわかった。警視庁が捜査したところ、サイバー攻撃はハッカー集団「Tick」が中国の人民解放軍の指示で行ったとみられ、JAXAのほか防衛関連の有力企業など、およそ200にのぼる研究機関や会社が標的になったという。
https://www3.nhk.or.jp/news/html/20210420/k10012984761000.html



Exchange servers under siege from at least 10 APT groups (2021/03/10)

ESETの研究者はTickを含む10以上のAPTグループが、2021/3/2に公開されたMicrosoft Exchange Serverのアップデートに含まれる脆弱性を悪用していると伝えた。
https://www.welivesecurity.com/2021/03/10/exchange-servers-under-siege-10-apt-groups/



中国、国策の一環で暗躍か 防衛・先端技術に相次ぐサイバー攻撃 (2020/02/11)

三菱電機とNECに続き、日本の防衛産業を担う神戸製鋼所と測量大手パスコへの「標的型」のサイバー攻撃が明らかになった。4社とも中国ハッカー集団の犯行とみられ、情報セキュリティの専門家らは中国が国策の一環で、防衛機密や民間の先端技術を窃取していると指摘する。
専門家によると、三菱電機への攻撃には「BlackTech」や「Tick」が関与。NECと神戸製鋼にも「Tick」が関わっているとみられる。
https://www.sankeibiz.jp/business/news/200211/bsm2002110500003-n1.htm



Operation ENDTRADE: Multi-Stage Backdoors that TICK (2019/11/29)

Tickは日本の組織を標的にスピアフィッシングメールを送るOperation ENDTRADEと呼ばれる攻撃キャンペーンを行った。標的とされた組織は中国に子会社を持つ日本の防衛、航空宇宙、化学、衛星などの企業とのこと。
https://www.trendmicro.com/en_us/research/19/k/operation-endtrade-finding-multi-stage-backdoors-that-tick.html



攻撃グループTickによる日本の組織をターゲットにした攻撃活動 (2019/02/19)

JPCERTは、2018年以降に確認しているTickが関連すると考えられる攻撃「標的型攻撃メールによるDatperの感染」と「資産管理ソフトウェアの脆弱性を悪用する攻撃」について解説した。
2017年頃までは、ドライブバイダウンロード攻撃でDatperに感染する事例を多く確認していが、2018年以降は感染経路が変化し、標的型攻撃メールに添付されたPPTファイルなどの不正なドキュメントファイルから感染する事例を複数確認している。
https://blogs.jpcert.or.jp/ja/2019/02/tick-activity.html



BRONZE BUTLER Targets Japanese Enterprises (2017/10/17)

BRONZE BUTLER(Tick)は長年、日本の重要インフラ、重工業、製造、および国際関係に関与するネットワークを標的として、技術と開発に関する知的財産や製品仕様書、メールなどを盗み出している。
https://www.secureworks.com/research/bronze-butler-targets-japanese-businesses



マルウェアDatperをプロキシログから検知する (2017/08/17)

JPCERTは、2016年6月頃から国内の組織を標的とした攻撃で使われるマルウェアの1つであるDatperの通信内容の特徴と検知方法などについて解説した。
Datperを使う攻撃グループはシマンテックによりTickと名付けられ、過去にはDaserfというマルウェアを使い、長期にわたって国内の組織を標的とした攻撃活動を行っている。
https://blogs.jpcert.or.jp/ja/2017/08/datper.html



日本を狙い始めたサイバースパイグループ「Tick」(2016/05/02)

シマンテックは2015年7月に、Tickが日本の3つのWebサイトに対して、Flashの脆弱性を利用した水飲み場型攻撃を仕掛たことを発見した。このWebサイトにアクセスしたユーザーが、ダウンローダGofarerに感染した後、Daserf をダウンロードして感染することで、Tickが端末からコマンド & コントロールサーバーへのリモート接続を確立し、被害者のシステムにアクセスできる状態を作り出していた。
http://www.symantec.com/connect/blogs/tick



※ 各会社名、団体名、商品名は各社、各団体の商品名称、または登録商標です。

日立システムズは、システムのコンサルティングから構築、導入、運用、そして保守まで、ITライフサイクルの全領域をカバーした真のワンストップサービスを提供します。