The Anatomy of China's Hacker Ecosystem: Espionage, Black Markets, and Financially Motivated Attacks
Abstract
This presentation examines actors who conduct sophisticated cyber operations against high-value targets, while also engaging in commercial crimes like data theft operation. An interesting link reveals their potential business connection with service provider I-SOON.
Case studies reveal their rapid malware development, like the GRAYRABBIT backdoor, exploiting vulnerabilities in popular software (Apache, Microsoft, etc.) and distributed via cloud services like GitHub. Actors use readily available tools, combined with obfuscation and encryption, to evade detection. Recent operations targeted high-value entities with political interests, tied to India and US elections, by utilizing tools like the WHITEDAISY downloader and CROSSWALK backdoor, showing a calculated focus.
Furthermore, the abuse of backdoored VPN utilities, delivered via manipulated search results, highlights a method for widespread global distribution and data theft. Another operation is presumed targeting government or military agencies in the South China Sea area, utilizing multiple layer servers to distribute sophisticated backdoor BLACKSTUDIO.
Analysis of discovered chat logs reveals connections between Chinese-speaking hacking groups and actors collaborating with overseas hackers, including Russian speakers. These collaborations indicate cross-border dealings and the purchase of commercial malware tools (e.g., Remcos RAT), potentially linked to supply chain intrusions in Korean gaming companies.
Overall, the research underscores the dual nature of these actors, acting both as state-sponsored agents and financially motivated criminals. It unveils sophisticated technical abilities and operational strategies within the complex Chinese hacking ecosystem.
Speaker
Steve Su
Aragorn Tseng
Chi-Yu You
Stealth in the Shadows: Dissecting Earth Freybug's Recent Campaign and Operational Techniques
Abstract
In the evolving landscape of cybersecurity threats, Earth Freybug has emerged as a sophisticated adversary targeting organizations across a range of sectors, including notable activity within the Transportation, Manufacturing, and Chemical industries in the Asia-Pacific (APAC) region. This presentation will provide an overview of the group’s recent activities, focusing on their exploitation of critical vulnerabilities. Attendees will gain insights into Earth Freybug's malware arsenal, featuring key strains such as DEATHLOTUS, WINDJAMMER (also known as WINNKIT or the Winnti rootkit), SHADOWGAZE (also known as HIGHNOON), and CUNNINGPIGEON. These malware families contribute to the group's operations by facilitating initial access, enabling data exfiltration, and supporting lateral movement within compromised networks.
The presentation will delve into their sophisticated post-exploitation tactics, which involve employing layered strategies designed to maintain persistence and evade detection. Additionally, attention will be given to Earth Freybug's use of passive backdoor communication techniques, which limit outbound traffic and help maintain a low profile, thereby complicating detection and response efforts. By sharing their operational insights, this session aims to equip security professionals with the knowledge necessary to better detect and defend against this evolving threat landscape, ultimately enhancing their ability to safeguard their organizations from future attacks.
Speaker
Theo Chen
Leon Chang
IoC LIGHT - Lifecycle of Indicators: Gathering, Handling, and Termination -
Abstract
NTTDATA-CERTでは、脅威情報共有プラットフォーム(MISP)を中心とし、IoCの収集/処理/配布をリアルタイムかつ効率的に実施している。脅威のトレンドは日々変化するため、過去に運用を決めた情報源は見直しを行い、必要に応じて新たな情報源を利用する必要がある。新たな情報源を追加する中で、大きく2つの課題が生じた。
1. セキュリティ機器にはIoCの登録上限があるため、登録上限に合わせて古いIoCを削除する、或いはリスクの低いIoCをフィルタリングして収集しないと、リスクの高い新しい攻撃に対応できないこと
2. 古い情報が残っていることにより、誤検知につながり、SOCを疲弊させる原因になっていること
これらの課題について、二つのアプローチで解決を目指した。
(a) IoC優先順位付け基準を構築し、それに基づいてIoCに対して4段階の優先度を付与し、優先度が高いIoCだけを収集する
(b) IoCの削除基準(ライフサイクルモデル)を構築することで、リスクが低いIoCをセキュリティ機器から削除する
本講演では、NTTDATA-CERTが実施しているIoCのリアルタイムな収集/処理/配布の運用、そして、さらに一歩進んだ高度なIoCの運用方法(IoC優先順位付け基準やライフサイクルモデル)について、実例を交えながら、実践的な知見を紹介する。
Speaker
中島 佑允
Evolution of Huapi Malware: Growing Focus on Edge Devices
Abstract
Huapi (aka BlackTech) is a China-nexus APT group that has been active for over a decade. In line with their ongoing threat landscape, this presentation offers an in-depth analysis of the evolution of Huapi’s malware, focusing on their increasing emphasis on targeting edge devices. We will examine three specific malware used by Huapi: SSHTD (aka ELF_PLEAD), Mabackdoor (aka Hipid), and Bifrost, detailing their evolution and technical characteristics. The analysis will cover incidents from 2022 to 2024 that targeted Taiwan and Japan. We will discuss the infection chains, such as the exploitation of the F5 vulnerability, as well as the execution flows of the malware. Our analysis will highlight recent updates to the malware, illustrating how these changes reflect Huapi’s evolving tactics, particularly their growing focus on edge devices. Additionally, we will outline Huapi’s C&C communication chain and provide an overview of their C&C infrastructure. Finally, we will conclude with recommended countermeasures and mitigation strategies.
Speaker
Yi-Chin Chuang
Yu-Tung Chang
Game of Emperor: Unveiling Long Term Earth Estries Cyber Intrusions
Abstract
Since 2023, Earth Estries (aka Salt Typhoon, FamousSparrow, GhostEmperor, and UNC2286) has emerged as one of the most aggressive Chinese APT groups, primarily targeting critical industries such as telecommunications and government entities in the United States, the Asia-Pacific region, the Middle East, and South Africa. We will highlight their evolving attack techniques and analyze the motivations behind their operations, providing insights into their long-term targeted attacks. A key finding from our recent investigation is the discovery of a new backdoor, GHOSTSPIDER, identified during attacks on Southeast Asian telecom companies. We will explore the technical details of GHOSTSPIDER, its impact across multiple countries, and interesting findings from tracking its C&C infrastructure. We have also uncovered the group’s use of SNAPPYBEE (aka Deed RAT), another tool shared among Chinese APT groups. Additionally, we believe the threat actor used SoftEther VPN to establish their operational networks, complicating efforts to track their activities. Our analysis suggests that Earth Estries is a well-organized group with a clear division of labor. Based on observations from multiple campaigns, we speculate that attacks targeting different regions and industries are launched by different actors, further highlighting the complexity of the group's operations.
Speaker
Leon Chang
Theo Chen
Follow the Clues: Everyday is lazarus.day
Abstract
The global cyber threat landscape is increasingly complex, with state-sponsored actors, cybercriminals, and hacktivists actively targeting various sectors. Cyber Threat Intelligence (CTI) firms play a vital role in tracking these actors and providing intelligence that security teams rely on to monitor threats. However, simply consuming CTI reports isn’t enough; security professionals must leverage CTI platforms, including open-source intelligence (OSINT), to proactively track and analyze threat actors. This presentation advocates for a proactive approach to threat intelligence, introducing key CTI platforms and strategies for building a comprehensive view of threat activities. A case study on Democratic People's Republic of Korea (DPRK) threat actors will illustrate this approach. Through the lazarus.day website, I’ve aggregated, analyzed, and tagged intelligence on DPRK actors, integrating OSINT for a full-spectrum analysis. This case underscores the value of combining multiple intelligence sources for effective threat tracking. Attendees will gain insights on optimizing CTI use for improved threat detection and response, enabling a strategic and proactive defense against evolving cyber threats.
Speaker
Jeonggak Lyu
Analysis of Attack Strategies Targeting Centralized Management Solutions
Abstract
This presentation explores the TTPs (Tactics, Techniques, and Procedures) employed by the Andariel group. Known as a sub-organization of the Lazarus group, Andariel operates for various purposes, including national security threats, technology theft, and financial gains. The group is particularly skilled at identifying and exploiting vulnerabilities in solutions widely used in South Korea. Recently, they have been targeting centralized management solutions deployed in Korean enterprises. One of Andariel's defining strategies is their ability to rapidly discover and leverage zero-day vulnerabilities in various software, ranging from asset management solutions with file distribution features to information security solutions.
In this presentation, we will analyze Andariel’s activities by categorizing their TTPs into those observed on rented servers they purchased and those identified within victimized organizations. By examining the TTPs used on rented servers, defenders can gain insights into the attackers’ efforts to infiltrate defensive environments and focus their countermeasures accordingly. Meanwhile, understanding the TTPs observed during enterprise breaches will enable defenders to develop step-by-step response strategies for attacks carried out within the internal networks of victim organizations.
Speaker
Dongwook Kim
Seulgi Lee
Kimsuky Wanna Be Your Social Network Friend
Abstract
This presentation focuses on Kimsuky, a North Korean government-sponsored cyber threat group, and their cyber espionage activities targeting South Korean Navy personnel in June 2024. Kimsuky utilized LinkedIn to profile key individuals in Navy communications and strategic defense sectors. Their main tactic involved social engineering, where they created fake personas based on real individuals with military backgrounds to gain the trust of victims.
Initially, Kimsuky delivered spear-phishing messages through LinkedIn, which included Google Drive links leading to EGG files containing malicious JavaScript. In some instances, spear-phishing emails were also used. These malicious scripts were disguised as legitimate forms or inquiry documents, and when downloaded, PE malware was executed. The malware was obfuscated using VMProtect and RC4 encryption to hinder detection and reverse engineering efforts.
Kimsuky’s June 2024 campaign targeting Navy personnel parallels their tactics in the 2021 Ministry of Foreign Affairs hack and the 2024 European defense industry attack, suggesting the same threat group was responsible. Kimsuky’s strategic interest in collecting intelligence on South Korean naval defense capabilities aimed to provide North Korea with critical information on maritime strategy and communication systems.
Additionally, this presentation sheds light on Kimsuky’s operational security practices, such as using cryptocurrency for infrastructure and registering domains without personal verification, to enhance anonymity and evade detection. By analyzing their June 2024 campaign, this presentation offers valuable insights into Kimsuky’s evolving tactics, which are crucial for strengthening defenses against similar future cyber espionage activities.
Speaker
Hankuk Jo
Sangyoon Yoo
Jeonghee Ha
Behind the scenes of recent DarkPlum operations
Abstract
DarkPlumは北朝鮮に帰属する攻撃グループであり、APT43やKimsukyと呼ばれることもあります。DarkPlumは主に軍事や外交のための諜報活動を行いつつ、また自身の活動資金を稼ぐための金銭目的の攻撃も行っています。基本的には韓国やアメリカの政府やシンクタンクなどを標的としていますが、時折日本に対しても攻撃を行っており、2024年3月頃から継続的に複数回の攻撃が観測されています。
本講演では、まず2024年3月以降に観測された日本に対する攻撃事例について、3つの具体的な事例を紹介します。次に、私たちが日頃行っているリサーチについて、その手法を紹介します。具体的には、VirusTotalやCensysを用いて、DarkPlumの攻撃インフラやマルウェアの情報を収集するクエリを共有します。さらに、私たちは大規模ネットワークの情報を分析し、DarkPlumの攻撃インフラ内の関係性を調査し、彼らのオペレーションの実態を解明しました。この分析が実際の脅威リサーチや防御において、どのように活用することができるのか、実例を示します。
Speaker
Amata Anantaprayoon
小池 倫太郎
不正送金に係るフィッシング犯行グループの観測とみずほの対策 -フィッシングサイト・マルウェア「KeepSpy」との戦い-
Abstract
2023年、警察庁が発表したインターネットバンキングに関連する不正送金被害は、発生件数5,578件、被害総額約87億円と過去最多を記録した。2024年も状況は変わらず、金融機関は依然として不正送金の脅威に晒されている状況の中、みずほではフィッシングサイトやマルウェアを日々観測しており、不正送金対策に取り組んでいる。みずほを標的とする複数の犯行グループは、フィッシングサイトのデザインや誘導手段(Eメール、SMSなど)にそれぞれ独自の特徴を持っており、中でもSMSを使ったグループは特に厄介で、多額の不正送金を成功させており、早急な対策が求められている。犯行グループによる銀行等を騙ったSMSの送信には、KeepSpyと呼ばれるAndroid Malwareが使用されており、C2サーバからSMS送信の指令を受けとったKeepSpy感染端末が、第三者へSMSを送信する仕組みである。そのため、不正送金の被害を低減させるためには第三者へのSMS送信を早期に検知し、フィッシングサイトのテイクダウン対応が必要となる。
みずほではSMSを悪用する犯行グループが使用するKeepSpyおよびフィッシングサイトを調査、分析した。その結果を元に、C2サーバからのSMS送信指令を取得するツールおよび、Certstreamによるフィッシングドメイン監視ツールを開発。当ツールを使うことで、検知フィッシングサイトの立ち上げ及び、第三者へのSMS送信を早期検知することを可能とした。
本講演では、不正送金を行う犯行グループの脅威や特徴、みずほにおけるフィッシングサイトテイクダウンの流れについて紹介し、SMSを使った犯行グループのフィッシングサイトの立ち上げ及びSMS送信を早期検知する仕組みについて紹介する。
また、金融機関が今後取り組むべき課題についても考察し、参加者が自社で応用できる実践的な知見を提供する。
Speaker
八子 浩之
竹内 司
遠藤 拓也
急速な変化を見せるフィッシングのトレンド -フィッシングサイトリアルタイム検知システムの共有-
Abstract
2018年以降フィッシング対策協議会へ報告されているサイトの件数は増加傾向にある。2023年の報告件数は、約119万件の報告がされているほか、フィッシングによる被害が含まれていると考えられるインターネットバンキングの不正送金は約80.7億円、クレジットカードの番号盗用による被害は約504億円にのぼる。当社では、研究活動を通じて社会的脅威をなくすための活動を行っており、その一環としてフィッシングについての調査や分析を実施している。その結果、フィッシングサイトのトレンドが急速に変化しており、犯罪者が企業の対策に対して様々なカウンターを行っていることが確認できた。加えて、テイクダウンの依頼やフィッシングサイトの判別はアナリストが手動で行うため、人的コストが増加している。これらの課題に対応するため、我々はSSL証明書の発行をトリガーとしたリアルタイム検知システムを作成した。本システムにより、新規に公開されたTTLの短いフィッシングサイトをリアルタイムに検知でき、テイクダウンへの迅速な対応を可能した。本講演では、急速に移り変わるフィッシングの近年のトレンドとその傾向を紹介する。それに対抗するために作成したフィッシングサイトリアルタイム検知システムとそれに使用したホワイトリストを公開・共有する。これらの情報共有により、フィッシングサイトの危険性と企業の社会的脅威を周知する。それに加え、リアルタイム検知システムの共有により、監視活動の効率と精度を上昇させ、アナリストの人的コスト削減が期待できる。
Speaker
芳村 涼介
佐野 智弥
Analysis of Two Phishers : Like a doppelganger
Abstract
サイバー犯罪の分業化が進んでおり、サイバー犯罪を支援するためにさまざまなサービスが誕生している。フィッシング詐欺においても、フィッシング詐欺を実行するためのインフラやツールなどを提供するPhishing as a Serviceが台頭している。その結果、フィッシング詐欺を実行するための技術的なハードルが下がっており、フィッシング詐欺の報告件数の増加の一因にもなっている。日本でも、Phishing as a Serviceによる特徴的なフィッシングキャンペーンが目立つようになった。我々は、さまざまなPhishing as a Serviceを調査し、どのような特徴があるのか、どのようなツールが使われているのか分析してきた。分析した中で、ドッペルゲンガーのように同じ振る舞いをしている2つのPhishing as a Serviceを発見した。異なるPhishing as a Serviceのコミュニティが同じ時期に誕生し、同じ投稿内容を同じ時間に行い、同じツールを使ってフィッシングキャンペーンを展開しているのを観測することができた。
本講演では、2024年の同じ時期にコミュニティが誕生し、日本を中心にフィッシングキャンペーンを行っている2つのPhishing as a Serviceの分析結果について共有する。フィッシングサイトの分析だけでなく、フィッシングサイトの環境構築に使われるスクリプトの分析や2つのPhishing as a Serviceの関連性、フィッシングサイトの検知・ハンティングルールについても共有する。コミュニティ内での活動内容やフィッシングサイトの技術的な分析結果を共有することで、フィッシング詐欺の実態解明へ貢献したい。フィッシング詐欺を行っている攻撃者についての情報共有の場になることを期待している。
Speaker
益本 将臣
Active Monitoring and Response to User Credential Leaks
Abstract
従来のフィッシングでは、攻撃者はターゲットを絞らずフィッシングを行い、個人情報、特に大手サイトの認証情報やクレジットカード情報を盗取してきた。
しかし、昨今、とある業界の事例では、攻撃者の利用するTTPの変化が見受けられた。初期の侵害として、企業担当者へInfoStealer型のマルウェアを送り付け、Stealerで取得した認証情報を利用し、Webサービスに侵入した上で、ユーザにWebサービスを経由したフィッシングを仕掛け、クレジットカード情報を盗むという手法である。
InfoStealerは感染した端末のブラウザに保存される認証情報、入力補完など様々な有益な情報を収集するため、特定のサイト、サービスだけが影響を受けるものではなく、データセットを作られるとあらゆるWebサービスに対する侵入に利用できる。そして、自らこのデータセットを作るアクターもいれば、公開されたデータセットを使ってWebサービスへの侵入から行うアクターも存在する。
従来のリスト型攻撃と異なり、InfoStealerで取得された認証情報を用いて不正アクセスされた場合には高精度な認証情報でアクセスされるため、Webサービス事業者側での検知が非常に難しくなる。検知できたとしても、端末にはマルウェアが存在する可能性もあるため、パスワードリセットによる対策は確実とは言えない。
加えて、こうした脅威やTTPは特定の業界だけにとどまるわけではないと考え、ダークウェブ上やTelegram上でInfoStealerによって漏えいしたデータセットをアクティブにモニタリングし、同じビジネス構造を持つ業界へのStealerのデータセットを使った攻撃の未然防止にも挑戦してきた。本講演では具体的な事例やケーススタディを交えながら、このInfoStealerの感染への取り組みを共有する。
Speaker
猪野 裕司
吉川 允樹
Ransomware's Secret Tunnel: How Ransomware Groups Hijack ESXi and NAS for Covert Operations
Abstract
In the last few years, ESXi hypervisors and Network Attached Storage (NAS) devices have been prime targets for ransomware groups for data exfiltration and encryption due to the data stored on them and their crucial role in business operations. Lately, Sygnia observed ransomware groups adopting novel methods leveraging ESXi hypervisors and NAS devices as network pivots to tunnel traffic and farther infiltrate corporate environments, evading detection and maintaining persistency within compromised environments by bypassing conventional security measures. These assets, are frequently overlooked in terms of security monitoring compared to other IT systems protected by EDR or Antivirus solutions, allowing the threat actor to achieve strong network foothold with minimal risk of detection.
In the talk, we will deepdive into the first seen in the wild techniques used by the ransomware groups, which leverages these unmonitored assets as network pivots for covert operations. Including a demonstration of traffic tunnelling on ESXi infrastructure and provide insights into enhancing visibility to detect and hunt for such threats.
Speaker
Zhongyuan Hau
Ren Jie Yow
From Service Providers to Customers: Earth Ammit Tailored Cyber Assault on Target's Supply Chain
Abstract
In mid-2024, we disclosed a cyber campaign, TIDRONE, targeting Taiwanese drone manufacturers and attributed to a likely Chinese-speaking group, Earth Ammit. Further investigation uncovered a related campaign, VENOM, targeting service providers in Eastern Asia since 2022. VENOM highlighted Earth Ammit’s supply-chain attack strategy, starting with service providers and advancing to high-value targets.
The group used shared tools for initial breaches to obscure attribution, focusing on credential theft, particularly from Active Directory, to facilitate further attacks. For critical targets, Earth Ammit deployed customized malware, such as CXCLNT and CLNTEND, emphasizing long-term espionage and deep infiltration. This strategic variation in tactics underscores their adaptability, employing simple methods for supply-chain entry and advanced tools for military targets.
This presentation brings the analysis of TIDRONE and VENOM campaigns by Earth Ammit’s evolving strategies, and a focus on prolonged access and intelligence gathering.
Speaker
Pierre Lee
Philip Chen
Vickie Su
China-aligned PlushDaemon APT compromises supply chain of Korean VPN
Abstract
In 2024, we noticed that several users had downloaded a suspicious NSIS installer from the official website of a South Korean VPN software company. We discovered that the supply chain of that company had been compromised and attackers had replaced the original installer with a trojanized one that installed both the legitimate VPN software called IPany and the implant that we named SlowStepper.
We named the threat actor behind this supply-chain compromise PlushDaemon. It is a China-aligned group conducting cyberespionage operations since at least 2019. PlushDaemon has targeted individuals and entities in China, Taiwan, Hong Kong, South Korea, the United States, and New Zealand. Interestingly, while investigating the activities of PlushDaemon, we discovered that the group’s capabilities are even more complex and wide-ranging. In addition to manipulating the software supply chain and exploiting vulnerable Apache HTTP servers, its primary initial access vector involves the hijacking of legitimate updates of Chinese software via Adversary-in-the-Middle (AitM) attacks.
Speaker
Facundo Munoz
Operation AkaiRyū: MirrorFace invites Europe to EXPO 2025 and revives ANEL backdoor
Abstract
In August 2024, we detected cyberespionage activity carried out by the MirrorFace APT group against a Central European diplomacy institute in relation to EXPO 2025, which will be held in Japan. This is the first time that we have observed MirrorFace targeting an entity based in Europe. The attack followed the same pattern observed throughout 2024. We named the series of the attacks “Operation AkaiRyū”. In our presentation, we go through the whole compromise chain, thoroughly explaining all the stages. Starting with the spearphishing email messages, we describe how MirrorFace managed to trick one of its targets to open the linked malicious file. Next, we explain the process of the ANEL backdoor’s deployment, which MirrorFace has started using as the first-line backdoor. We continue the presentation with a description of the subsequent deployment of HiddenFace and related loaders, alongside other auxiliary tools necessary to fulfill MirrorFace’s objectives. This includes establishing Visual Studio Code remote tunnels to maintain stealthy remote access. Further, we discuss MirrorFace’s operational security improvements introduced in 2024. Finally, we discuss the relationship between the groups APT10 and MirrorFace.
Speaker
Dominik Breitenbacher
Hack The Sandbox: Unveiling the Truth Behind Disappearing Artifacts
Abstract
2023年から2024年にかけて観測されている、標的型攻撃グループ「APT10」(別名:MirrorFace, Earth Kasha)の攻撃キャンペーンにおいて、二次検体として使用されたマルウェア「LilimRAT」と「NOOPDOOR」に Windows サンドボックス内での動作を意図した機能が実装されていました。Windows サンドボックスは、Windows 10 Pro 以降の特定の環境で機能を有効化することで利用可能です。アプリケーションの安全な実行や検証を目的とした一時的な仮想環境として設計、実装されています。サンドボックスを終了するとすべてのデータが消去され、基本的にはホストシステムへの影響はありません。一方で、サンドボックスを制御するためのシンプルな構成ファイルを用いることで、ホストシステムや他のネットワークへのアクセスが可能となるほか、起動時に任意のコマンドを実行する機能なども備えており、操作の容易性と柔軟性が特徴です。一連の攻撃キャンペーンでは、セキュリティ製品による検知回避やフォレンジック調査の妨害を目的として、これらの特性が逆手に取られ、悪用されています。非常に巧妙で危険な新しい攻撃手法であり、今後の標的型攻撃をはじめとするサイバー攻撃において同様の手法が普及し、社会的に大きな脅威となる危険性を懸念しています。本講演では、実際の攻撃事例を基にした Windows サンドボックスの詳細な検証結果と検証から得られた関連アーティファクトおよびブルーチームの視点から監視や調査に資すると判断されるポイントについて解説します。
Speaker
亀川 慧
笹田 修平
丹羽 祐介
Handling Threat Intelligence: Techniques of Consuming and Creating Threat Intelligence
Abstract
高度な攻撃グループが行う攻撃を未然に防ぎ、類似した攻撃を受けないようにするためには、攻撃グループや攻撃手法について様々な情報を収集・分析し、予防・検知に役立てる技術「脅威インテリジェンス」が重要となります。攻撃グループが利用する攻撃手法などを分析し、作成した脅威インテリジェンスを組織内外に共有することにより、早期警戒を促すことも可能です。
一方、攻撃手法の分析といえば、マルウェア解析、脆弱性分析、フォレンジック分析などが思い浮かぶかもしれません。しかし、分析から得られた情報をどのように予防・検知に役立てていくべきでしょうか?本ワークショップでは、マルウェア解析・フォレンジック分析などで判明した情報をもとに、MITRE ATT&CKフレームワークなどを活用し、攻撃グループが利用した攻撃手法を分析し、理解する手法を学びます。また、予防・検知に役立つIOCの作成技法、脅威ハンティングや侵入テストへの応用、Detection Engineeringへの応用、対策手法の検討などについて取り組みます。
本ワークショップでは、脅威インテリジェンスに初めて携わる初任者を対象として、2つの観点から、脅威インテリジェンスを学びます。第一に、脅威インテリジェンスの理論的基礎を紹介し、インテリジェンス定義や種類、インテリジェンスサイクルなど、主要な概念を解説します。第二に、脅威インテリジェンスの生成技法・活用技法に焦点を当てていきます。具体的には、IOC(侵害指標)を生成・適用するTactical Intelligence、攻撃者が悪用する攻撃手法(TTP)をMITRE ATT&CKフレームワークを利用・分析するOperational Intelligenceを学びます。また、得られた知見から、脅威ハンティングやパープルチーミング、Detection Engineeringなど、セキュリティ運用の高度化へ応用する技法についても説明します。
Speaker
石川 朝久
大徳 達也
富山 寛之
Requirements
- インターネットに接続可能なノートPC
Advance Preparation
-
ノートPCでは、以下のツールが使用可能であること。
- 閲覧制限等がないWebブラウザ環境
- 表計算ソフト(Microsoft Excel など)
- SSH接続・RDP接続が可能であること
Skills
- 基本的なLinuxコマンドの操作ができることが望ましい。(Linuxインスタンスで、一部コマンドを実行してもらうため)
Malware config extraction at scale - building malware analysis pipelines
Abstract
Over many years of malware analysis projects at CERT.PL, we have gradually improved our approach to automating the extraction of configuration from malware samples. The workshop will provide a practical hands-on introduction on how to setup a minimal malware repository with automatic config extractors. We'll take a look at malduck – the backbone of configuration extraction. It's a Python module that contains commonly used analysis helpers like:
* config extraction engine
* cryptographic functions, fixed integer types, compression algorithms
* operations on memory dumps and PE/ELF files
We'll use it to create a small config extraction module. The module will be then integrated into MWDB – an open-source malware repository, that allows us to ingest feeds, search and enrich samples, and share data with other users. The integrated extraction module will allow us to automatically extract configurations from uploaded malware samples which we will test out by uploading a batch of various samples.
Speaker
Michał Praszmo
Requirements
- A laptop (linux based operating systems are preferred)
Advance Preparation
- Docker Compose and Python virtual environment
Skills
- An intermediate grasp on reverse engineering and Python programming would be required.
IDAとGhidraのプラグインを活用して学ぶ、マルウェアの耐解析機能解析入門
Abstract
マルウェア開発者は、解析を妨ぐために、耐解析機能を実装します。これにより、デバッガ等が検出されると、マルウェアが動作を停止したり、解析者を困惑させるような動作をし、解析を困難にすることがあります。耐解析機能の実装方法は、さまざまで、大規模なメール配信キャンペーンやランサムウェアでは、代表的なものですと、VM検出、ブレークポイント検出、時間差検出などの手法がよく用いられます。本ワークショップでは、自動的に耐解析機能を抽出するプラグイン「AntiDebugSeeker」を活用します。このプラグインは、IDAとGhidraで使用でき、PEファイルのマルウェアに対応しています。GUIを通して、耐解析機能を分かりやすく把握でき、初めて見る耐解析機能についても、説明機能によって、概要を把握し、どう対処していけばいいのか検討する手助けを行います。また、検知ルールを自由にカスタマイズすることができ、耐解析機能だけでなく、ユーザーの好みによって、検知の幅を拡大することも可能です。
https://github.com/LAC-Japan/IDA_Plugin_AntiDebugSeeker
https://github.com/LAC-Japan/Ghidra_AntiDebugSeeker
本ワークショップは、マルウェア解析を始めた方や耐解析機能について学習し始めた方向けに、ツールを紹介し、検体ごとの演習と解説を行います。主に耐解析機能の解決をベースに、それに付随したマルウェア解析の要素も学んでいきます。解説には、IDAとGhidraのそれぞれのユーザ向けに、2種類使います。
Speaker
武田 貴寛
Requirements
- インターネットに接続可能なノートPC
Advance Preparation
-
仮想環境のWindows OSに以下をインストール
- Ghidra 11.0.1 (上記仮想環境内で利用) + Ghidra_AntiDebugSeeker (GhidraにAntiDebugSeekerを拡張させる方法は、GitHubのGhidra Extension How to Setup and Executeのセクションをご確認ください。)
- IDA Pro(普段使用されている方) + IDA_AntiDebugSeeker
- x32dbg
- x64dbg
- ProcessHackerなど動作しているプロセスが分かるもの
Skills
-
最低限必要なスキル
- マルウェア解析をする安全な環境を自身で構築できる 推奨スキル
- Ghidraを使って解析したことがある
- 簡易的な動的解析まではしたことがある
- デバッガーを使う動的解析をしたことがある 事前に読んでおくとよい書籍や講演
- リバースエンジニアリングツールGhidra実践ガイド ~セキュリティコンテスト入門からマルウェア解析まで~
- Workshop: Malware Analysis at Scale ~Defeating EMOTET by Ghidra~
LIGHTNING TALK SESSION
Slot #1
Title: 複数のLLM agentとRAGによるMITRE ATT&CK利活用ツールの紹介
Speaker: 佐田 淳史
Slot #2
Title: 日本とスペインのサイバーセキュリティ分野における国際協力
Speaker: Masato Ikegami, Josep Albors
Title
Abstract
TBA
Speaker
TBA
Requirements
- TBA
Advance Preparation
- TBA
Skills
- TBA
TBA
TBA
小池 倫太郎
NTT Security Holdings
Rintaro Koike is a security analyst at NTT Security Holdings. He is engaged in threat research and malware analysis. In addition, he is the founder of "nao_sec" and is in charge of threat research. He focuses on APT attacks targeting East Asia and web-based attacks. He has been a speaker at VB, SAS, Botconf, AVAR and others.
Amata Anantaprayoon
NTT Security Holdings
Amata Anantaprayoon is a security analyst at NTT Security Holdings and specializes in real-time threat detection, incident response, detection engineering, and cyber threat research. Amata regularly shares his insights at leading conferences such as Virus Bulletin as well as at closed events as a key member of NTT´s Threat Intelligence research community.
八子 浩之
株式会社みずほフィナンシャルグループ
2017年みずほ銀行に入行。前職セキュリティ会社のコンサルタントを経て、現在に至る。インシデント対応のCSIRTの担当やSOCの運用・企画、脅威インテリジェンスの担当など多岐の業務をこなす。インターネットバンキングの不正送金の対策業務、フィッシング対応も担当。
竹内 司
株式会社みずほフィナンシャルグループ
2014年みずほ銀行に入行。 都内店の営業課、本部の個人向け商品(主にインターネットバンキング)企画・運用部門を経て、現配属に至る。インターネットバンキングに関するセキュリティ全般(企画・運用)や不正送金・マネロン対策業務等を担当したのち、現在はサイバーインシデント(フィッシング対応やセキュリティ対策)対応等を担当。
遠藤 拓也
株式会社みずほフィナンシャルグループ
2020年みずほ銀行に入行。前職ではマルウェアアナリスト、フォレンジックアナリスト、SOC業務のリーダーを経験。現職ではインシデント対応にてログ調査やマルウェア解析を行う傍ら、脅威インテリジェンスを収集するシステムの運用・開発を担当している。
Hankuk Jo
NSHC
Hankuk Jo is a researcher at the Threat Research Lab of NSHC, specializing in cybersecurity and threat intelligence. He is passionate about sharing his insights and primarily focuses on analyzing the tactics, techniques, and procedures (TTPs) employed by cyber attackers, leveraging threat intelligence data.
Sangyoon Yoo
NSHC
Sangyoon Yoo is a seasoned professional in the field of cyber threat intelligence and research, currently working at the Threat Research Lab of NSHC. With a strong background in analyzing and researching various cybersecurity threats, Sangyoon has developed expertise in threat intelligence, game hacking tools, and malware analysis.
Jeonghee Ha
NSHC
Jeonghee Ha is a researcher at the Threat Research Lab of NSHC. Previously, JeongHee worked as an Incident Response Analyst and also has experience in CERT, analyzing threat events and providing first response. Jeonghee is primarily interested in threat data related to cybercrime groups and has a strong interest in digital forensic techniques.
武田 貴寛
株式会社ラック
株式会社ラック サイバー救急センターにて、マルウェア解析に従事するほか、ラックセキュリティアカデミー講師や本などの執筆を行っている。PACSEC、AVAR、HITCON、Virus Bulletin、Black Hat USA Arsenalなどで登壇。
Theo Chen
Trend Micro
Theo Chen is a Senior Threat Researcher at Trend Micro, bringing over five years of comprehensive experience in the cybersecurity domain. His areas of expertise include penetration testing, malware analysis, and threat hunting, with a strong focus on understanding and mitigating advanced cyber threats. Throughout his career, Theo has been involved in multiple initiatives aimed at strengthening organizational security, focusing on detecting advanced threats and designing proactive defense strategies. Currently, He specializes in tracking APT groups, particularly those associated with Chinese-speaking actors. His work involves in-depth analysis of emerging cyber threats and TTPs employed by these sophisticated adversaries.
Leon Chang
Trend Micro
Leon Chang is a Senior Threat Researcher at Trend Micro. His major areas of research include APT campaign tracking, threat intelligence and malware analysis. He has also been a speaker at international conferences, including Black Hat Asia 2022, JSAC 2021/2022, CYBERSEC and AISA, etc.
Jeonggak Lyu
Financial Security Institute
He is the CSIRT Lead at the Financial Security Institute in South Korea, with over two decades of experience in cybersecurity focused on the financial sector. His expertise spans vulnerability assessments, penetration testing, security operations, and incident response, ensuring robust defenses against evolving cyber threats. Beyond his primary role, he actively tracks Democratic People's Republic of Korea (DPRK) state-sponsored threat actors as a personal side project, managing the website lazarus.day and the X (formerly Twitter) account lazarusholic, where he shares in-depth analysis and insights on these cyber adversaries.
Yi-Chin Chuang
TeamT5
Yi-Chin Chuang is a threat intelligence researcher at TeamT5. She is passionate about reverse engineering and malware analysis. Her current research focuses on APT threats within the APAC region. She has shared her research findings at Underground Economy, JSAC, CYBERSEC, and TAS.
Yu-Tung Chang
TeamT5
Yu-Tung Chang is a Threat Intelligence Researcher from TeamT5. He is interested in reverse engineering, vulnerability exploiting and malware analysis. He was engaged in network attacks research and rule writing. Currently, his research focuses on cyber threat intelligence in the East Asia region. He has spoken at Code Blue, TAS and JSAC.
亀川 慧
伊藤忠サイバー&インテリジェンス株式会社
伊藤忠サイバー&インテリジェンスにてインシデントレスポンスや脅威分析に従事。
笹田 修平
伊藤忠サイバー&インテリジェンス株式会社
伊藤忠サイバー&インテリジェンスにてインシデントレスポンスや脅威分析に従事。
丹羽 祐介
伊藤忠サイバー&インテリジェンス株式会社
伊藤忠サイバー&インテリジェンスにてインシデントレスポンスや脅威分析に従事。
猪野 裕司
株式会社リクルートテクノロジーズ
2016年より株式会社リクルートテクノロジーズに入社。リクルートCSIRTとして、リクルートにおけるセキュリティ事故対応のチームリードを行う。2021年4月に、サイバー犯罪対策グループを発足、サイバー犯罪対策のためのカード不正やなりすましログインなどを専門とした分析調査を実施。CISSP、GCIH、GCTI、GNFA。
吉川 允樹
株式会社リクルート
株式会社リクルートにて脆弱性診断やペネトレーションテストに従事。現在はリクルートCSIRTとしてセキュリティ事故対応、監視対応、脅威ハンティング等を行う。
Dominik Breitenbacher
ESET
Dominik is a malware researcher at ESET. Coming from academia, he joined ESET in 2019 to help track the activities of APT groups with a particular focus on the China-aligned group MirrorFace. He previously presented at AVAR and also at JSAC 2024. In his spare time, he plays video games and watches bad movies.
石川 朝久
東京海上ホールディングス株式会社
2009年より、セキュリティ専門企業にて、侵入テスト、セキュリティ監査、インシデント対応などに従事。現在は、東京海上ホールディングスにて、セキュリティ戦略立案、セキュリティアーキテクチャ、脅威インテリジェンス分析、インシデント対応などを担当。また、情報処理技術者試験委員・情報処理安全確保支援士試験委員、総務省サイバーセキュリティエキスパート、執筆や技術書翻訳なども行っている。
大徳 達也
東京海上ホールディングス株式会社
警察庁技官として16年間従事し、サイバー犯罪対策やサイバーテロ対策の技術支援を担当。警視庁出向時、国際犯罪組織対策に携わる経験も持つ。その後、セキュリティ専門企業にてインシデントへのフォレンジックやインテリジェンス、政府機関向けトレーニングの企画開発等を担当。2022年からは東京海上ホールディングスにて、セキュリティ運用、インシデント対応、および国内外のグループ会社向けのセキュリティ対策に従事している。
富山 寛之
東京海上ホールディングス株式会社
2009年に大学卒業後、東京海上日動システムズへ入社。2016年からサイバーセキュリティ担当となり、東京海上日動、東京海上あんしん生命のシステムへのセキュリティ対策の導入推進やインシデント対応やポリシー策定などの業務を担当する。2023年から東京海上ホールディングスへ出向し、CSIRT及び国内外のグループ会社向けのセキュリティ施策を担当する。保有資格はOSCP、CISSP、CISA、情報処理安全確保支援士、ITILv3Expert。
Zhongyuan Hau (Aaron)
Sygnia
Aaron is a security researcher with more than four years of experience in various aspects of Cybersecurity including Incident Response, Red Teaming and Security Research. He is currently an Incident Response Expert with Sygnia, where he is part of the team that investigates security incidents ranging from advanced persistent threats (APTs) and ransomware attacks to data breaches.
Ren Jie Yow
Sygnia
Ren Jie is an Incident Response Expert from Singapore, with over four years of experience in managing and mitigating information security incidents. He has successfully navigated a wide range of challenges, including ransomware attacks, data breaches, advanced persistence threats (APTs), and financial fraud.
Pierre Lee
Trend Micro
Pierre Lee is a Senior Threat Researcher at Trend Micro, expertise in reverse engineering, threat hunting, APT campaign research across the APAC region. Prior to joining Trend Micro, Pierre worked as an Anti-Virus analyst, focusing on malware detection engineering using both signature-based and machine learning approaches.
Philip Chen
Trend Micro
Philip Chen is an APT threat researcher at TrendMicro, specializing in reverse-engineering and threat hunting. His work focuses on identifying and analyzing advanced persistent threats, malware, and security vulnerabilities. In his free time, he also explores fuzzing technologies. His background in cybersecurity gives him a well-rounded perspective on both offensive and defensive strategies.
Vickie Su
Trend Micro
Vickie Su is a threat researcher in Trend Micro. She is in charge of handling targeted attack cases around the Asia-Pacific region by malware analysis, performing correlating intelligence during the investigation, figuring out threat actors' Tactics, Techniques and Procedures (TTPs).
Dongwook Kim
KRCERT/CC
ongwook Kim have been working for KRCERT/CC since 2013 as Computer Incident Analyst. He has a lot of experiences related to internet security incident response(Supply Chain Attacks, cryptocurrency exchange hacking and so on). Recently, He is tracking and analyzing specific hacking group targeting Korea.
Seulgi Lee
KRCERT/CC
Seulgi Lee is currently a malware analyst at Korea Internet & Security Agency. He carried out research into cyber security such as cyber threat intelligence, SIEM for 7 years from 2012 in the R&D department. After moving to KrCERT/CC position, He has been analyzing threats targeting Korea and sharing insights based on the results to prevent the infringement cases and minimize the damage in Korea.
益本 将臣
NTTコミュニケーションズ株式会社
NTTコミュニケーションズ株式会社にて、脅威インテリジェンスプロジェクトNA4Secのメンバーとして活動し、フィッシング詐欺を中心にさまざまなサイバー犯罪の調査・分析に従事。SNSでフィッシングサイトの情報発信を行っている。
Steve Su
Google Mandiant
Steve Su is a Senior Security Engineer & Researcher at Google Cloud’s Mandiant Intelligence. His proficiency focuses on malware hunting, reverse engineering, and tracking state-sponsored campaigns over the Asia Pacific region. He had public talks on conferences such as Kaspersky SAS, Virus Bulletin, HITCON and Mandiant CDS.
Aragorn Tseng
Google Mandiant
Aragorn Tseng serves as a Researcher and Analyst for Google Cloud’s Mandiant Intelligence, specializing in tracking state-sponsored actors across the Asia Pacific region. His expertise spans various domains, including malware analysis, incident response, APT campaign tracking, and the application of deep learning to cybersecurity challenges. Aragorn has presented his research at conferences such as Black Hat Asia, CodeBlue, HITCON, Virus Bulletin, and JSAC. Prior to joining Google Cloud, Aragorn worked as a consultant, contributing to incident response and APT campaign tracking initiatives within Taiwan's law enforcement agencies.
Chi-Yu You
Google Mandiant
Chi-Yu You (YCY) is a team lead on the Cyber Espionage Team at Google Cloud’s Mandiant Intelligence and also Blackhat Asia reviewboard. She leads a team that provides insights into nation-state threats in the Asia Pacific region. YCY has 8 years of experience in threat intelligence. Her expertise spans across threat hunting, reverse engineering, automated malware analysis, and campaign tracking. She has spoken at conferences including CodeBlue, HITCON, and JSAC.
中島 佑允
NTTデータグループ
2019年にNTTデータグループに入社し、営業として画像処理や自然言語処理ソリューションなどを販売。2023年4月より同社のCSIRT部隊「NTTDATA-CERT」に異動し、インシデント対応、IoCの収集~配信業務、並びにAIを用いたCSIRT業務の効率化に従事。また、C2フレームワーク開発、OSSの脆弱性探索、バグバウンティプログラム参加などオフェンシブセキュリティに強く関心を持つ。
Facundo Munoz
ESET
Facundo Munoz is a malware researcher, working for ESET since 2021. He focuses on hunting and analyzing advanced persistent threat malware from China-aligned threat actors, and writing reports for ESET’s threat intelligence services. Munoz has presented at conferences such as JSAC, BotConf, and NorthSec.
芳村 涼介
株式会社ラック
株式会社ラック サイバー・グリッド・ジャパン 次世代セキュリティ技術研究所に所属。Exploit Code・indicatorの収集分析、脅威インテリジェンスとそれを効率化するAIの研究・開発に従事。FIRSTCON24 Lightning Talk、CSS2024などで登壇。
佐野 智弥
株式会社ラック
株式会社ラック 金融犯罪対策センターに所属。金融犯罪対策、サイバー犯罪対策のコンサルテーションに従事。また、AIを用いた不正取引検知ソリューションの開発におけるデータ分析やAIのモデル構築、導入支援にも関わる。さらに、日本サイバー犯罪対策センターやフィッシング対策協議会などの関連外部団体・組織と連携した活動等に従事。
Michał Praszmo
CERT Polska
Jack of all trades, master of none at cert.pl. Busy doing everything that needs to be done at a national CERT - ranging from software engineering to reverse engineering and APT tracking.