TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究・参照ログ

APT28 (まとめ)

【要点】

◎ロシアの政府系標的型攻撃組織。ロシア連邦軍参謀本部情報総局(GRU)の指揮下にある


【目次】

概要

【概要】

■ 別名

攻撃組織名 命名組織
APT28 FireEye
Fancy Bear CrowdStrike
Sofacy NSA, FBI
Sednit ESET
Tsar Team FireEye
STRONTIUM Microsoft
Pawn Storm Trendmicro
Threat Group-4127 SecureWorks
TG-4127 SecureWorks
SnakeMackerel
Group 74 Talos(CISCO)
x-agent
Swallowtail Symantec(?)
Fighting Ursa Paloalto


■国家の背景

攻撃組織名 親組織名
APT28 ロシア連邦軍参謀本部情報総局(GRU)
APT29 ロシア連邦保安局(FSB)


■特徴

項目 内容
使用マルウェア Komplex
攻撃方法 MacKeeperの脆弱性を利用
活動時期 2004年から活動
少なくとも2007年より活動を展開
顕著な活動 世界反ドーピング機構(WADA)に対する攻撃を実施
【最新情報】

◆Russian hackers use Ngrok feature and WinRAR exploit to attack embassies (BleepingComputer, 2023/11/19 11:14)
[ロシアのハッカー、Ngrok機能とWinRARエクスプロイトを使用して大使館を攻撃]
https://www.bleepingcomputer.com/news/security/russian-hackers-use-ngrok-feature-and-winrar-exploit-to-attack-embassies/
https://malware-log.hatenablog.com/entry/2023/11/19/000000_1

◆Fighting Ursa (APT28) の隠密作戦で学ぶ APT 脅威の被害者学 (Paloalto, 2023/12/07 11:03)
https://unit42.paloaltonetworks.jp/russian-apt-fighting-ursa-exploits-cve-2023-233397/
https://malware-log.hatenablog.com/entry/2023/12/07/000000_3

◆Russian military hackers target NATO fast reaction corps (BleepingComputer, 2023/12/07 17:20)
[ロシア軍ハッカー、NATOの高速反応部隊を標的に]
https://www.bleepingcomputer.com/news/security/russian-military-hackers-target-nato-fast-reaction-corps/
https://malware-log.hatenablog.com/entry/2023/12/07/000000_2

記事

【ニュース】


■2014年

◇2014年10月

◆Clues point to Russia in long-running spying campaign (PCworld, 2014/10/27)
[長期にわたるスパイ活動でロシアが関与したことを示す手がかり]
http://www.pcworld.com/article/2839652/clues-point-to-russia-in-longrunning-spying-campaign.html
https://malware-log.hatenablog.com/entry/2014/10/27/000000_1

◆各国の軍事情報を狙うサイバースパイ、ロシア政府が関与か (ITmedia, 2014/10/29 07:43)

FireEyeは一連の攻撃について、「ロシア政府がスポンサーしている可能性が極めて大きい」と推測する

http://www.itmedia.co.jp/enterprise/articles/1410/29/news049.html
https://malware-log.hatenablog.com/entry/2014/10/29/000000_1

◆[FT]西側への高度サイバー攻撃、裏にロシアの可能性 (日経新聞, 2014/10/30 07:00)
http://www.nikkei.com/article/DGXMZO79040130Z21C14A0000000/
https://malware-log.hatenablog.com/entry/2014/10/30/000000_1

◆米ホワイトハウスのネットワークにハッカーが侵入--ロシアを怪しむ声も (ZDNet, 2014/10/30 12:03)
http://japan.zdnet.com/security/analysis/35055888/
https://malware-log.hatenablog.com/entry/2014/10/30/000000_4

◆ロシア政府がサイバー攻撃を支援か (JBPress, 2014/10/30)

中国ハッカー集団を突き止めた有力セキュリティー会社が報告書

http://jbpress.ismedia.jp/articles/-/42090
https://malware-log.hatenablog.com/entry/2014/10/30/000000_5

◆米セキュリティー企業、ロシアのハッカー集団「APT28」に関する報告書発表 (Online Homeland security, 2014/10/31)
http://viktorvoksanaev.blogspot.jp/2014/10/apt28.html
https://malware-log.hatenablog.com/entry/2014/10/31/000000


◇2014年11月

◆日本にちらつく? 国家によるサイバースパイの影 (ITmedia, 2014/11/25 17:06)

海外では国家が関与するサイバースパイ行為や社会インフラへの攻撃が常態化しつつあるが、日本も無縁ではなくなりつつあるとファイア・アイ

http://www.itmedia.co.jp/enterprise/articles/1411/25/news124.html

◆日本政府を狙った攻撃は否定できない - FireEye、サイバー攻撃「APT28」を解説 (マイナビニュース, 2014/11/25)
http://news.mynavi.jp/articles/2014/11/25/fireeye/

◆ロシア政府が関係する「APT28」 - 中国発とは異なる傾向 (Security NEXT, 2014/11/25)
http://www.security-next.com/053950

◆個人情報には見向きもしない、ロシア発のサイバースパイ活動「APT28」 (@IT, 2014/11/28)

ファイア・アイの最高技術責任者(CTO)に就任した名和利男氏が、ロシア政府から支援を受けた標的型攻撃と思われる「APT28」に関する説明会を開催。機密情報を狙うサイバースパイ活動に対処するため、「潜在的な脅威」を積極的に検知する取り組みが必要だと述べた

http://www.atmarkit.co.jp/ait/articles/1411/25/news149.html


■2015年

◇2015年3月

◆サイバー攻撃で原発を停止!世界ハッカー極悪ランキング (日刊SPA, 2015/03/30)
http://nikkan-spa.jp/817832


◇2015年4月

◆ロシアのハッカー集団、「Flash」「Windows」を標的に--FireEye (CNet, 2015/04/20 10:15)
http://japan.cnet.com/news/business/35063398/

◆FlashとWindowsの脆弱性を突くコンボ攻撃発生、Windowsの脆弱性は未解決 (ITmedia, 2015/04/21 07:23)

FireEyeは特定の標的を執拗に狙うAPT攻撃を検出。Flashの脆弱性は最新版で修正されたが、Windowsの権限昇格の脆弱性はパッチを開発中だという

http://www.itmedia.co.jp/enterprise/articles/1504/21/news037.html

◆ロシアのサイバーエスピオナージ集団、銀行を襲う計画 (サイバーセキュリティ.com)
http://サイバーセキュリティ.com/column/2333

◆The Italian Connection: An analysis of exploit supply chains and digital quartermasters (ShadowServer)
http://www.securebinary.co.za/mabiribobi/uploads/2015/08/The-Italian-Connection-An-analysis-of-exploit-supply-chains-and-digital-quartermasters.pdf

◆Cyberspy group Sofacy returns with new tools (Enterprise Innovation)
http://www.enterpriseinnovation.net/article/cyberspy-group-sofacy-returns-new-tools-2084914713


■2016年

◇2016年5月

◆ドイツ、一連の国際サイバー攻撃でロシアを非難 (AFP BB NEWS, 2016/05/14 14:53)
http://www.afpbb.com/articles/-/3087077

◆Flash Playerのゼロデイ脆弱性、過去の標的型攻撃で利用された脆弱性と類似 (Security NEXT, 2016/05/19)
http://www.security-next.com/070025


◇2016年6月

◆米国政府機関に対する新たなSOFACY攻撃 (paloalto, 2016/06/15 15:00)
https://www.paloaltonetworks.jp/company/in-the-news/2016/1600615_unit42-new-sofacy-attacks-against-us-government-agency.html

◆Lone hacker reportedly takes credit for DNC intrusions, releases opposition files on Trump (SC Magazine, 2016/06/16)
https://www.scmagazine.com/guccifer-20-claims-responsibility-for-dnc-hack-releases-reported-trump-opposition-files/article/529443/


◇2016年7月

◆最近のSOFACY攻撃で使われているOFFICE TEST持続手法 (paloalto, 2016/07/21)
https://www.paloaltonetworks.jp/company/in-the-news/2016/160721-unit42-technical-walkthrough-office-test-persistence-method-used-in-recent-sofacy-attacks.html

◆扱いやすいトランプ氏を大統領にするため? 民主党のメール流出事件、背後にロシア政府の影 (NewSphere, 2016/07/28)
https://newsphere.jp/world-report/20160728-2/


◇2016年9月

◆ロシア政府と関係ある「Sofacy」、OS X向けトロイの木馬を展開か (Security NEXT, 2016/09/27)
http://www.security-next.com/074255


◇2016年10月

◆ハッカー集団Fancy Bear事件に関する世界アンチ・ドーピング機構(WADA)サマリーについて (JADA, 2016/10/11)
http://www.playtruejapan.org/info/20161011/


◇2016年11月

◆Windowsに深刻な脆弱性、標的型攻撃で悪用 - 11月8日にパッチが公開予定 (Security NEXT, 2016/11/02)
http://www.security-next.com/075423


◇2016年12月

◆ロシアによる米国へのサイバー攻撃「グリズリー・ステップ」 (AFP BB NEWS, 2016/12/30 12:39)
http://www.afpbb.com/articles/-/3112801


■2017年

◇2017年1月

◆Cookieヘッダーを用いてC&CサーバとやりとりするマルウエアChChes(2017-01-26) (JPCERT/CC, 2017/01/26)
https://www.jpcert.or.jp/magazine/acreport-ChChes.html


◇2017年2月

◆サイバースパイ集団「セドニット」の実態に迫る (キャノンITソリューションズ, 2017/02/20)
https://eset-info.canon-its.jp/malware_info/trend/detail/170220.html

◆日本を標的にした新しい脅威を発見:スネーク・ワイン (Cylance, 2017/02/27)
https://www.cylance.com/ja_jp/blog/jp-the-deception-project-a-new-japanese-centric-threat.html
https://malware-log.hatenablog.com/entry/2017/02/27/000000_2


◇2017年7月

◆Microsoftがロシアのハッカー集団Fancy Bearとの静かなるサイバーウォーに勝利 (Techcrunch, 2017/07/21)
http://jp.techcrunch.com/2017/07/21/20170720microsoft-fancy-bear-lawsuit-poulsen/
https://malware-log.hatenablog.com/entry/2017/07/28/000000_11


◇2017年8月

◆悪名高きサイバー攻撃集団「APT28」がNSAのツールを使ってホテル宿泊客のデータを盗む (THE ZERO/ONE, 2017/08/23 08:00)
https://the01.jp/p0005610/
https://malware-log.hatenablog.com/entry/2017/08/23/000000_1


■2018年

◇2018年1月

◆先週のサイバー事件簿 - 仮想通貨にまつわる危険は暴落だけじゃない (マイナビニュース, 2018/01/23 13:39)
https://news.mynavi.jp/article/20180123-575188/
https://malware-log.hatenablog.com/entry/2018/01/23/000000_3

◆Lazarus Group, Fancy Bear Most Active Threat Groups in 2017 (DARKReading, 2018/01/31)
https://www.darkreading.com/vulnerabilities---threats/lazarus-group-fancy-bear-most-active-threat-groups-in-2017/d/d-id/1330954?print=yes
https://malware-log.hatenablog.com/entry/2018/01/31/000000_7


◇2018年2月

◆A Slice of 2017 Sofacy Activity (SecureList, 2018/02/20)
https://securelist.com/a-slice-of-2017-sofacy-activity/83930/
https://malware-log.hatenablog.com/entry/2018/02/20/000000_3


◇2018年3月

◆Kaspersky – Sofacy ‘s campaigns overlap with other APT groups’ operations (Security Affairs, 2018/03/12)
http://securityaffairs.co/wordpress/70129/apt/sofacy-apt-operations.html
http://malware-log.hatenablog.com/entry/2018/03/12/000000_5


■2019年

◇2019年2月

◆ロシアのハッカー集団、欧州の政治研究団体を攻撃--マイクロソフトが公表 (ZDNet, 2019/02/21 12:51)
https://japan.zdnet.com/article/35133085/
https://malware-log.hatenablog.com/entry/2019/02/21/000000


◇2019年8月

◆露ハッカー集団がプリンターなどから企業に侵入--マイクロソフトが警告 (ZDNet, 2019/08/07 10:28)
https://japan.zdnet.com/article/35140975/
https://malware-log.hatenablog.com/entry/2019/08/07/000000_2


◇2019年9月

◆CrowdStrike Blog:FANCY BEAR( APT28 )、ファンシーベアとは何者か? (NetSecurity, 2019/09/18 08:10)

Fancy Bear として知られる国家主導の犯罪者グループは、知られる限り2008年から活動しており、世界中のさまざまな組織にとって脅威となっています。

https://scan.netsecurity.ne.jp/article/2019/09/18/42951.html
https://malware-log.hatenablog.com/entry/2019/09/18/000000_3


◇2019年10月

◆ロシアのハッカー集団、スポーツ界を標的にサイバー攻撃 (朝日新聞, 2019/10/30 10:00)
https://digital.asahi.com/articles/ASMBZ22N7MBZUHBI00B.html
https://malware-log.hatenablog.com/entry/2019/10/30/000000_5

◆スポーツ界にサイバー攻撃 かつて福原愛さんも被害に (サンスポ, 2019/10/29 09:49)
https://www.sanspo.com/sports/news/20191029/spo19102909490002-n1.html
https://malware-log.hatenablog.com/entry/2019/10/29/000000_4


■2020年

◇2020年3月

◆ロシアの攻撃グループが戦術を変更--脆弱性を持つメールサーバーをスキャン (ZDNet, 2020/03/23 12:01)
https://japan.zdnet.com/article/35151187/
https://malware-log.hatenablog.com/entry/2020/03/23/000000_1


◇2020年8月

◆NSA and FBI warn that new Linux malware threatens national security (Ars Technica, 2020/08/14 08:59)
https://arstechnica.com/information-technology/2020/08/nsa-and-fbi-warn-that-new-linux-malware-threatens-national-security/
https://malware-log.hatenablog.com/entry/2020/08/14/000000

◆ロシア政府系ハッカー集団「ファンシーベア」が未発見のLinuxマルウェアツール「Drovorub」で国家安全保障を脅かしているとFBI・NSAが警告 (Gigazine, 2020/08/14 11:10)
https://gigazine.net/news/20200814-fancy-bear-apt28-drovorub/
https://malware-log.hatenablog.com/entry/2020/08/14/000000_2

◆FBIとNSA、ロシア政府関与とみられるハッカー集団によるLinuxマルウェア明らかに (ZDNet, 2020/08/14 11:00)
https://japan.zdnet.com/article/35158148/
https://malware-log.hatenablog.com/entry/2020/08/14/000000_1

◆Copycat Hacking Groups Launch DDoS Attacks (BankInfo Security, 2020/08/18)
[模倣ハッキンググループがDDoS攻撃を開始]

Akamai: Extortionists Target Financial Firms, Use APT Group Personas
[アカマイ:恐喝者が金融会社を標的に、APT グループのペルソナを使用]

https://www.bankinfosecurity.com/copycat-hacking-groups-launch-ddos-attacks-a-14846

◆FBIとNSAが発表した、ハッカー集団APT28の「Linuxマルウェア」とは? (ASCII.jp, 2020/08/21 14:15)
https://ascii.jp/elem/000/004/023/4023957/
https://malware-log.hatenablog.com/entry/2020/08/21/000000_7


◇2020年9月

◆マイクロソフト、米大統領選を狙った外国からのサイバー攻撃判明 (Bloomberg, 2020/09/11 06:43)
https://www.bloomberg.co.jp/news/articles/2020-09-10/QGGJ41T1UM0Y01
https://malware-log.hatenablog.com/entry/2020/09/11/000000_4


◇2020年11月

◆ロシアと北朝鮮のハッカーが新型コロナワクチン製造会社を標的にしているとマイクロソフトが指摘 (TechCrunch, 2020/11/14)
https://jp.techcrunch.com/2020/11/14/2020-11-13-microsoft-russia-north-korea-hackers-coronavirus-vaccine/
https://malware-log.hatenablog.com/entry/2020/11/14/000000_3

◆マイクロソフト、3つの国家支援ハッカー集団が新型コロナワクチン開発7企業に攻撃したと報告 (Engadget, 2020/11/16 19:10)
https://japanese.engadget.com/microsoft-says-state-hackers-target-covid-19-vaccine-makers-101028156.html
https://malware-log.hatenablog.com/entry/2020/11/16/000000_7


◇2020年12月

◆Norway: Russian APT28 state hackers likely behind Parliament attack (BleepingComputer, 2020/12/08 12:48)
[ノルウェー: ロシアのAPT28国家ハッカーが国会攻撃の背後にいる可能性が高い]
https://www.bleepingcomputer.com/news/security/norway-russian-apt28-state-hackers-likely-behind-parliament-attack/
https://malware-log.hatenablog.com/entry/2020/12/08/000000_2


■2021年

◇2021年4月

◆マイクロソフト、増加するファームウェア攻撃への準備が不十分と警告 (ZDNet, 2021/04/06 14:17)
https://japan.zdnet.com/article/35168902/
https://malware-log.hatenablog.com/entry/2021/04/06/000000_1


◇2021年6月

◆ロシアのハッカーがドイツのインフラにサイバー攻撃=メディア (スプートニク, 2021/06/30 21:05)

ドイツの銀行部門と重要インフラが大規模なサイバー攻撃を受けた。欧米諜報機関の独自の情報筋を引用し、ビルド紙が報じた

https://jp.sputniknews.com/europe/202106308502379/
https://malware-log.hatenablog.com/entry/2021/06/30/000000_2


◇2021年10月

◆Google warns 14,000 Gmail users targeted by Russian hackers (BleepingComputer, 2021/10/07 19:37)
https://www.bleepingcomputer.com/news/security/google-warns-14-000-gmail-users-targeted-by-russian-hackers/
https://malware-log.hatenablog.com/entry/2021/10/07/000000_5

◆ロシアやイランなど国家を後ろ盾とするフィッシングやマルウェア攻撃急増--グーグルが警告 (ZDNet, 2021/10/18 13:50)
https://japan.zdnet.com/article/35178181/
https://malware-log.hatenablog.com/entry/2021/10/18/000000


■2022年

◇2022年3月

◆ロシア政府支援のハッキング組織がフィッシング詐欺やDDoS攻撃でウクライナや周辺地域を攻撃しているとGoogleの脅威分析グループが暴露 (Gigazine, 2022/03/08 12:30)
https://gigazine.net/news/20220308-google-tag-ukraine-russia-cyber-attack/
https://malware-log.hatenablog.com/entry/2022/03/08/000000_26

◆ロシアのハッカー集団、ウクライナのメディア企業標的=グーグル (ロイター, 2022/03/08 14:13)
https://jp.reuters.com/article/ukraine-crisis-google-hackers-idJPKBN2L50CR
https://malware-log.hatenablog.com/entry/2022/03/08/000000_19


◇2022年4月

◆Microsoft takes down APT28 domains used in attacks against Ukraine (BleepingComputer, 2022/04/07 18:52)
[マイクロソフト、ウクライナへの攻撃に使用されたAPT28のドメインを削除]
https://www.bleepingcomputer.com/news/microsoft/microsoft-takes-down-apt28-domains-used-in-attacks-against-ukraine/
https://malware-log.hatenablog.com/entry/2022/04/07/000000_3


◇2022年6月

◆Russian govt hackers hit Ukraine with Cobalt Strike, CredoMap malware (BleepingComputer, 2022/06/21 15:34)
[ロシア政府ハッカーがウクライナにマルウェア「Cobalt Strike」「CredoMap」を送り込む]
https://www.bleepingcomputer.com/news/security/russian-govt-hackers-hit-ukraine-with-cobalt-strike-credomap-malware/
https://malware-log.hatenablog.com/entry/2022/06/21/000000_2

◆Ukraine targeted by almost 800 cyberattacks since the war started (BleepingComputer, 2022/06/30 10:57)
[ウクライナ、開戦以来約800件のサイバー攻撃で標的にされる]
https://www.bleepingcomputer.com/news/security/ukraine-targeted-by-almost-800-cyberattacks-since-the-war-started/
https://malware-log.hatenablog.com/entry/2022/06/30/000000_7


■2023年

◇2023年4月

◆Hackers use fake ‘Windows Update’ guides to target Ukrainian govt (BleepingComputer, 2023/04/30 10:07)
[ハッカーが偽の「Windows Update」ガイドを使い、ウクライナ政府を標的にした]
https://www.bleepingcomputer.com/news/security/hackers-use-fake-windows-update-guides-to-target-ukrainian-govt/
https://malware-log.hatenablog.com/entry/2023/04/30/000000_1


◇2023年6月

◆Russian APT28 hackers breach Ukrainian govt email servers (BleepingComputer, 2023/06/20 09:00)
[ロシアのAPT28ハッカーがウクライナ政府の電子メールサーバーに侵入]
https://www.bleepingcomputer.com/news/security/russian-apt28-hackers-breach-ukrainian-govt-email-servers/
https://malware-log.hatenablog.com/entry/2023/06/20/000000_3


◇2023年9月

◆ロシアのサイバースパイFancy Bearがウクライナのエネルギー施設にフィッシング攻撃 (Codebook, 2023/09/08 01:36)
https://codebook.machinarecord.com/threatreport/29588/
https://malware-log.hatenablog.com/entry/2023/09/08/000000_6


◇2023年10月

◆Google links WinRAR exploitation to Russian, Chinese state hackers (BleepingComputer, 2023/10/18 11:00)
[グーグル、WinRARの悪用をロシアと中国の国家ハッカーに関連付ける]
https://www.bleepingcomputer.com/news/security/google-links-winrar-exploitation-to-russian-chinese-state-hackers/
https://malware-log.hatenablog.com/entry/2023/10/18/000000_6

◆France says Russian state hackers breached numerous critical networks (BleepingComputer, 2023/10/26 12:40)
[フランス、ロシアのハッカーが多数の重要ネットワークに侵入したと発表]
https://www.bleepingcomputer.com/news/security/france-says-russian-state-hackers-breached-numerous-critical-networks/
https://malware-log.hatenablog.com/entry/2023/10/26/000000_3


◇2023年11月

◆Russian hackers use Ngrok feature and WinRAR exploit to attack embassies (BleepingComputer, 2023/11/19 11:14)
[ロシアのハッカー、Ngrok機能とWinRARエクスプロイトを使用して大使館を攻撃]
https://www.bleepingcomputer.com/news/security/russian-hackers-use-ngrok-feature-and-winrar-exploit-to-attack-embassies/
https://malware-log.hatenablog.com/entry/2023/11/19/000000_1


◇2023年12月

◆Russian military hackers target NATO fast reaction corps (BleepingComputer, 2023/12/07 17:20)
[ロシア軍ハッカー、NATOの高速反応部隊を標的に]
https://www.bleepingcomputer.com/news/security/russian-military-hackers-target-nato-fast-reaction-corps/
https://malware-log.hatenablog.com/entry/2023/12/07/000000_2

【解説記事】

■2015年

◆APT28 stronger, faster in recent months (SC Magazine, 2015/12/04)
https://www.scmagazine.com/apt28-hitting-higher-profile-targets-using-more-sophisticated-methods/article/533260/

◆New report undresses 'Russian speaking' APT 28 (SC Magazine, 2015/12/21)
https://www.scmagazine.com/new-report-undresses-russian-speaking-apt-28/article/533384/


■2016年

◆APTs flutter false flags (SC magazine, 2016/03/23)
https://www.scmagazine.com/apts-flutter-false-flags/article/528643/

◆BfV agency says Russia is behind German cyber-attacks (SC Magazine, 2016/05/16)
https://www.scmagazine.com/bfv-agency-says-russia-is-behind-german-cyber-attacks/article/527687/

◆Clinton Foundation possibly breached by Russian hackers who targeted DNC (SC Magazine, 2016/06/22)
https://www.scmagazine.com/clinton-foundation-possibly-breached-by-russian-hackers-who-targeted-dnc/article/529584/

◆Guccifer 2.0 leaks docs on 11K donors, tries to draw attention back to DNC hacks (SC Magazine, 2016/07/15)
https://www.scmagazine.com/guccifer-20-leaks-docs-on-11k-donors-tries-to-draw-attention-back-to-dnc-hacks/article/527898/

◆Trump's Russian interests and Guccifer 2.0 (SC Magazine, 2016/07/26)
https://www.scmagazine.com/trumps-russian-interests-and-guccifer-20/article/529908/

◆Russian APT's DealersChoice exploit tool is a raw deal for Flash users (SC Magazine, 2016/10/18)
https://www.scmagazine.com/russian-apts-dealerschoice-exploit-tool-is-a-raw-deal-for-flash-users/article/566690/

◆Google and Microsoft in dust-up over vulnerability disclosure (SC Magazine, 2016/11/02)
https://www.scmagazine.com/google-and-microsoft-in-dust-up-over-vulnerability-disclosure/article/570039/

【ブログ】

■2016年

◆SOFACYの‘KOMPLEX’、OS Xのトロイの木馬 (paloalto, 2016/09/27 16:00)
https://www.paloaltonetworks.jp/company/in-the-news/2016/160927_unit42-sofacys-komplex-os-x-trojan.html

◆サイバー攻撃者集団「Pawn Storm」は 2017 年後半も活発に活動-新しい標的と政治的動機に基づく攻撃- (Trendmicro, 2018/01/16)
http://blog.trendmicro.co.jp/archives/16804


■2017年

◆Masha and these Bears (SecureList(Kaspersky), 2017/03/09 17:00)
https://securelist.com/masha-and-these-bears/84311/


■2018年

◆ドイツ政府からウクライナ関連文書が流出=独誌 (Sputnik, 2018/03/11)
https://jp.sputniknews.com/incidents/201803114657090/
http://malware-log.hatenablog.com/entry/2018/03/11/000000

◆APT28: New Espionage Operations Target Military and Government Organizations (Broadcom, 2018/10/04)
[APT28:軍事・政府機関を標的とした新たなスパイ活動]

Recent campaigns see APT28 group return to covert intelligence gathering operations in Europe and South America.
[最近のキャンペーンでは、APT28グループが欧州や南米での秘密情報収集活動に復帰しています。]

https://symantec-enterprise-blogs.security.com/blogs/election-security/apt28-espionage-military-government
https://malware-log.hatenablog.com/entry/2018/10/04/000000_7


■2019年

◆Corporate IoT – a path to intrusion (Microsoft, 2019/08/05)
https://msrc-blog.microsoft.com/2019/08/05/corporate-iot-a-path-to-intrusion/
https://malware-log.hatenablog.com/entry/2019/08/05/000000_11


■2023年

◆Fighting Ursa (APT28) の隠密作戦で学ぶ APT 脅威の被害者学 (Paloalto, 2023/12/07 11:03)
https://unit42.paloaltonetworks.jp/russian-apt-fighting-ursa-exploits-cve-2023-233397/
https://malware-log.hatenablog.com/entry/2023/12/07/000000_3

【資料】

■2016年

◆Sednit Part1: Approaching the Target (ESET, 2016/10)
https://www.welivesecurity.com/wp-content/uploads/2016/10/eset-sednit-part1.pdf


■2020年

◆Russian GRU 85th GTsSS Deploys Previously Undisclosed Drovorub Malware (NSA & FBI, 2020/08/13)
https://media.defense.gov/2020/Aug/13/2002476465/-1/-1/0/CSA_DROVORUB_RUSSIAN_GRU_MALWARE_AUG_2020.PDF

【IoT情報】

◆APT28 (IoC (TT Malware Log))
https://ioc.hatenablog.com/entry/2018/02/20/000000

◆APT28 (IoC (TT Malware Log))
https://ioc.hatenablog.com/entry/2017/01/26/000000_1


【図表】


出典: http://www.security-next.com/053950

【検索】

APT28 FireEye
Fancy Bear CrowdStrike
Sofacy NSA, FBI
Sednit ESET
Tsar Team FireEye
STRONTIUM Microsoft
Pawn Storm Trendmicro
Threat Group-4127 SecureWorks
TG-4127 SecureWorks
SnakeMackerel
Group 74 Talos(CISCO)
x-agent
Swallowtail Symantec(?)
Fighting Ursa Paloalto

■Google

google: APT28
google: Fancy Bear
google: Sofacy
google: Sednit
google: Tsar Team
google: STRONTIUM
google: Pawn Storm
google: Threat Group-4127
google: TG-4127
google: SnakeMackerel
google: Group 74
google: x-agent
google: Swallowtail
google: Fighting Ursa


google:news: APT28
google:news: Fancy Bear
google:news: Sofacy
google:news: Sednit
google:news: Tsar Team
google:news: STRONTIUM
google:news: Pawn Storm
google:news: Threat Group-4127
google:news: TG-4127
google:news: SnakeMackerel
google:news: Group 74
google:news: x-agent
google:news: Swallowtail
google:news: Fighting Ursa


google: site:virustotal.com APT28
google: site:virustotal.com Fancy Bear
google: site:virustotal.com Sofacy


google: site:github.com APT28
google: site:github.com Fancy Bear
google: site:github.com Sofacy


■Bing

https://www.bing.com/search?q=APT28
https://www.bing.com/search?q=Fancy%20Bear
https://www.bing.com/search?q=Sofacy
https://www.bing.com/search?q=Sednit
https://www.bing.com/search?q=Tsar Team
https://www.bing.com/search?q=STRONTIUM
https://www.bing.com/search?q=Pawn Storm
https://www.bing.com/search?q=Threat Group-4127
https://www.bing.com/search?q=TG-4127
https://www.bing.com/search?q=SnakeMackerel
https://www.bing.com/search?q=Group%2074
https://www.bing.com/search?q=x-agent
https://www.bing.com/search?q=Swallowtail
https://www.bing.com/search?q=Fighting%20Ursa


https://www.bing.com/news/search?q=APT28
https://www.bing.com/news/search?q=Fancy%20Bear
https://www.bing.com/news/search?q=Sofacy


■Twitter

https://twitter.com/search?q=%23APT28
https://twitter.com/search?q=%23Fancy%20Bear
https://twitter.com/search?q=%23Sofacy

https://twitter.com/hashtag/APT28
https://twitter.com/hashtag/Fancy%20Bear
https://twitter.com/hashtag/Sofacy


【関連まとめ記事】

全体まとめ
 ◆攻撃組織 / Actor (まとめ)

◆標的型攻撃組織 / APT (まとめ)
https://malware-log.hatenablog.com/entry/APT


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2023