APT グループ名や利用マルウェア名から、関連する APT グループの概要をさくっと知るのに便利なサイトをまとめました。
APT グループの概要を知りたいとき
Threat Group Cards: A Threat Actor Encyclopedia
タイ CERT が 2019/06 頃に公開した APT 百科事典。 ページ内検索で APT グループ名や利用マルウェアを調べると関連する情報を拾えるため非常に便利。 APT グループの別名や活動拠点、標的地域やセクタ、利用マルウェア、主な目的、関連するオペレーションなどが網羅されており、ページ数は 300 近くと非常に豊富な情報量を誇る。 PDF としてダウンロードできるのでオフラインでも構わず使える。 改変可能な CC ライセンスで公開されている。
- Threat Group Cards: A Threat Actor Encyclopedia
https://www.thaicert.or.th/downloads/files/A_Threat_Actor_Encyclopedia.pdf
APTMAP
Nils Kuhnert 氏(@0x3c7)により 2018/06 頃から公開されている APT グループの活動拠点と攻撃対象地域を世界地図にマッピングしてくれる Web サービス。 APT グループの活動地域を視覚的に把握するのに便利。左上にある検索ボックスに APT グループの名前を入れて使う。別名での検索も可能。 結果は地図だけでなく概要や関連する記事一覧なども表示される。
- APTMAP
https://aptmap.netlify.com/
Groups | MITRE ATT&CK
APT グループの攻撃手法や戦術を MITER ATT&CK にマッピングして分析しているサイト。 それぞれの詳細ページにある「ATT&CK Navigator Layers」を押すと結果をマトリックス表示してくれる。
- Groups | MITRE ATT&CK™
https://attack.mitre.org/groups/
The Cyberthreat Handbook
APTグループについてのプロファイリングをまとめているレポート(公開は2019年10月頃)。MITRE ATT&CKの枠組みでも整理されており、読み応えのある内容になっている。約500の攻撃キャンペーン、66のAPTグループが記載されている。入手にはWebサイトからの申込みが必要。
- Verint — Thales: The Cyberthreat Handbook
https://cis.verint.com/resources/the-cyberthreat-handbook/
その他
APT攻撃グループ | FireEye
FireEye による APT グループのまとめ。視覚的なアイコンとともに APT グループの概要がまとめられている。かっこいい。
- APT攻撃グループ | FireEye
https://www.fireeye.jp/current-threats/apt-groups.html
Meet the Advanced Persistent Threats (APTs) | Threat Actors
CrowdStrike による APT グループのまとめ。APT グループ名を活動拠点毎に異なる動物の名前で命名しているのが特徴的。 各グループの詳細ページにある画像が印象的。
- Meet the Advanced Persistent Threats (APTs) | Threat Actors
https://www.crowdstrike.com/blog/meet-the-adversaries/
上記ブログを日本語訳したもの。
- CrowdStrike Blog:APT 攻撃に立ち向かう~世界のサイバー攻撃者リスト | ScanNetSecurity
https://scan.netsecurity.ne.jp/article/2019/06/11/42456.html
APT Groups and Operations
有志により作成されている APT グループに関するまとめ。 各グループやマルウェアの別名、利用ツールや利用脆弱性、関連情報のリンクなどがまとめられている。
- APT Groups and Operations
https://docs.google.com/spreadsheets/u/0/d/1H9_xaxQHpWaa4O_Son4Gx0YOIzlcBWMsdvePFX68EKU/pubhtml#
サイバー戦モデルの研究(その2) - 防衛省・自衛隊
委託調査によって作成された資料のよう。地域別に APT グループをまとめた記載が含まれている。
- サイバー戦モデルの研究(その2) - 防衛省・自衛隊
https://warp.da.ndl.go.jp/info:ndljp/pid/11502835/www.mod.go.jp/j/approach/hyouka/kouritsuka/yosan_shikko/2017/2017/06.pdf (※国立国会図書館データベース*1 )
参考文献
CyberMonitor/APT_CyberCriminal_Campagin_Collections: APT & CyberCriminal Campaign Collection
https://github.com/CyberMonitor/APT_CyberCriminal_Campagin_CollectionsThaiCERT ไทยเซิร์ต - เอกสารเผยแพร่ ดาวน์โหลดเอกสาร
https://www.thaicert.or.th/downloads/downloads.html
付録
お蔵入りした「A Threat Actor Encyclopedia」の日本語訳
日本語の方が理解が早いなと思って自作したもの。 元資料が CC ライセンスで改変可能となっていたので公開前提で 世界地図へのマッピングやアイコンの追加などこつこつと作成していたが、 利用した翻訳サービスの規約をよく確認せずに作成していたため公開できなくなった資料。 とりあえずの概要を知りたいときには一番よく見てます。元資料が改版されたら別の方法で翻訳し直して公開したいところ。
「A Threat Actor Encyclopedia」という @ThaiCERT がCCライセンスで公開したAPT辞典が素晴らしかったのでコツコツと翻訳しながら視覚要素を追加した資料を作ったのだけれど、利用した無料お試し版のみらい翻訳の規約では翻訳した文書を配布するのは難しそうだったので公開は断念。画像で供養。 pic.twitter.com/0bZB1ST006
— soji256 (@soji256) June 30, 2019
更新履歴
- 2019/10/30 新規作成
- 2019/10/30 CrowdStrike のブログ記事「Meet the Advanced Persistent Threats (APTs) | Threat Actors」を追記。短い記事なので目次を付録に回しました。
- 2019/10/31 一部記載を追記修正。またスマホ閲覧時を考慮して目次の位置を先頭に戻しました。
- 2020/01/17 「The Cyberthreat Handbook」を追記。
- 2020/08/31 一部の削除されていたページについて記載に反映。
- 2020/12/30 「サイバー戦モデルの研究(その2) - 防衛省・自衛隊」のリンクを修正。
- 2023/01/10 一部リンク切れの旨を追記
*1:国立国会図書館データベースに移動されていたので、そちらのリンクに変更しました。変更前のリンクは https://www.mod.go.jp/j/approach/hyouka/kouritsuka/yosan_shikko/2017/2017/06.pdf (リンク切れ)です。