TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究ログ

APT28 (まとめ)

概要


【概要】

■ 別名

攻撃組織名 備考
APT28 FireEye
Sofacy
Sednit
Fancy Bear
Tsar Team
STRONTIUM Microsoft
Pawn Storm
Threat Group-4127
TG-4127


■国家の背景

APT28 ロシア連邦軍参謀本部情報総局(GRU)
APT29 ロシア連邦保安局(FSB)

■特徴

  • 使用マルウェア
    • Komplex
  • 攻撃方法
    • MacKeeperの脆弱性を利用
  • APT28の活動
    • 少なくとも2007年より活動を展開
    • 最近、世界反ドーピング機構(WADA)に対する攻撃を実施


【辞典】

◆Fancy Bear (Wikipedia)
https://en.wikipedia.org/wiki/Fancy_Bear

◆APT28 (ATT&CK)
https://attack.mitre.org/groups/G0007/

記事


【ニュース】

◆Clues point to Russia in long-running spying campaign (PCworld, 2014/10/27)
http://www.pcworld.com/article/2839652/clues-point-to-russia-in-longrunning-spying-campaign.html

◆各国の軍事情報を狙うサイバースパイ、ロシア政府が関与か (ITmedia, 2014/10/29 07:43)

FireEyeは一連の攻撃について、「ロシア政府がスポンサーしている可能性が極めて大きい」と推測する

http://www.itmedia.co.jp/enterprise/articles/1410/29/news049.html

◆[FT]西側への高度サイバー攻撃、裏にロシアの可能性 (日経新聞, 2014/10/30 07:00)
http://www.nikkei.com/article/DGXMZO79040130Z21C14A0000000/

◆米ホワイトハウスのネットワークにハッカーが侵入--ロシアを怪しむ声も (ZDNet, 2014/10/30 12:03)
http://japan.zdnet.com/security/analysis/35055888/

◆ロシア政府がサイバー攻撃を支援か (JBPress, 2014/10/30)
中国ハッカー集団を突き止めた有力セキュリティー会社が報告書
http://jbpress.ismedia.jp/articles/-/42090

◆米セキュリティー企業、ロシアのハッカー集団「APT28」に関する報告書発表 (Online Homeland security, 2014/10/31)
http://viktorvoksanaev.blogspot.jp/2014/10/apt28.html

◆日本にちらつく? 国家によるサイバースパイの影 (ITmedia, 2014/11/25 17:06)

海外では国家が関与するサイバースパイ行為や社会インフラへの攻撃が常態化しつつあるが、日本も無縁ではなくなりつつあるとファイア・アイ

http://www.itmedia.co.jp/enterprise/articles/1411/25/news124.html

◆日本政府を狙った攻撃は否定できない - FireEye、サイバー攻撃「APT28」を解説 (マイナビニュース, 2014/11/25)
http://news.mynavi.jp/articles/2014/11/25/fireeye/

◆ロシア政府が関係する「APT28」 - 中国発とは異なる傾向 (Security NEXT, 2014/11/25)
http://www.security-next.com/053950

◆個人情報には見向きもしない、ロシア発のサイバースパイ活動「APT28」 (@IT, 2014/11/28)

ファイア・アイの最高技術責任者(CTO)に就任した名和利男氏が、ロシア政府から支援を受けた標的型攻撃と思われる「APT28」に関する説明会を開催。機密情報を狙うサイバースパイ活動に対処するため、「潜在的な脅威」を積極的に検知する取り組みが必要だと述べた

http://www.atmarkit.co.jp/ait/articles/1411/25/news149.html

◆サイバー攻撃で原発を停止!世界ハッカー極悪ランキング (日刊SPA, 2015/03/30)
http://nikkan-spa.jp/817832

◆ロシアのハッカー集団、「Flash」「Windows」を標的に--FireEye (CNet, 2015/04/20 10:15)
http://japan.cnet.com/news/business/35063398/

◆FlashとWindowsの脆弱性を突くコンボ攻撃発生、Windowsの脆弱性は未解決 (ITmedia, 2015/04/21 07:23)

FireEyeは特定の標的を執拗に狙うAPT攻撃を検出。Flashの脆弱性は最新版で修正されたが、Windowsの権限昇格の脆弱性はパッチを開発中だという

http://www.itmedia.co.jp/enterprise/articles/1504/21/news037.html

◆ロシアのサイバーエスピオナージ集団、銀行を襲う計画 (サイバーセキュリティ.com)
http://サイバーセキュリティ.com/column/2333

◆The Italian Connection: An analysis of exploit supply chains and digital quartermasters (ShadowServer)
http://www.securebinary.co.za/mabiribobi/uploads/2015/08/The-Italian-Connection-An-analysis-of-exploit-supply-chains-and-digital-quartermasters.pdf

◆Cyberspy group Sofacy returns with new tools (Enterprise Innovation)
http://www.enterpriseinnovation.net/article/cyberspy-group-sofacy-returns-new-tools-2084914713

◆ドイツ、一連の国際サイバー攻撃でロシアを非難 (AFP BB NEWS, 2016/05/14 14:53)
http://www.afpbb.com/articles/-/3087077

◆Flash Playerのゼロデイ脆弱性、過去の標的型攻撃で利用された脆弱性と類似 (Security NEXT, 2016/05/19)
http://www.security-next.com/070025

◆米国政府機関に対する新たなSOFACY攻撃 (paloalto, 2016/06/15 15:00)
https://www.paloaltonetworks.jp/company/in-the-news/2016/1600615_unit42-new-sofacy-attacks-against-us-government-agency.html

◆Lone hacker reportedly takes credit for DNC intrusions, releases opposition files on Trump (SC Magazine, 2016/06/16)
https://www.scmagazine.com/guccifer-20-claims-responsibility-for-dnc-hack-releases-reported-trump-opposition-files/article/529443/

◆最近のSOFACY攻撃で使われているOFFICE TEST持続手法 (paloalto, 2016/07/21)
https://www.paloaltonetworks.jp/company/in-the-news/2016/160721-unit42-technical-walkthrough-office-test-persistence-method-used-in-recent-sofacy-attacks.html

◆扱いやすいトランプ氏を大統領にするため? 民主党のメール流出事件、背後にロシア政府の影 (NewSphere, 2016/07/28)
https://newsphere.jp/world-report/20160728-2/

◆ロシア政府と関係ある「Sofacy」、OS X向けトロイの木馬を展開か (Security NEXT, 2016/09/27)
http://www.security-next.com/074255

◆ハッカー集団Fancy Bear事件に関する世界アンチ・ドーピング機構(WADA)サマリーについて (JADA, 2016/10/11)
http://www.playtruejapan.org/info/20161011/

◆Windowsに深刻な脆弱性、標的型攻撃で悪用 - 11月8日にパッチが公開予定 (Security NEXT, 2016/11/02)
http://www.security-next.com/075423

◆ロシアによる米国へのサイバー攻撃「グリズリー・ステップ」 (AFP BB NEWS, 2016/12/30 12:39)
http://www.afpbb.com/articles/-/3112801

◆Cookieヘッダーを用いてC&CサーバとやりとりするマルウエアChChes(2017-01-26) (JPCERT/CC, 2017/01/26)
https://www.jpcert.or.jp/magazine/acreport-ChChes.html

◆サイバースパイ集団「セドニット」の実態に迫る (キャノンITソリューションズ, 2017/02/20)
https://eset-info.canon-its.jp/malware_info/trend/detail/170220.html

◆日本を標的にした新しい脅威を発見:スネーク・ワイン (Cylance, 2017/02/27)
https://www.cylance.com/ja_jp/blog/jp-the-deception-project-a-new-japanese-centric-threat.html

◆Microsoftがロシアのハッカー集団Fancy Bearとの静かなるサイバーウォーに勝利 (Technch, 2017/07/21)
http://jp.techcrunch.com/2017/07/21/20170720microsoft-fancy-bear-lawsuit-poulsen/

◆悪名高きサイバー攻撃集団「APT28」がNSAのツールを使ってホテル宿泊客のデータを盗む (THE ZERO/ONE, 2017/08/23 08:00)
https://the01.jp/p0005610/

◆先週のサイバー事件簿 - 仮想通貨にまつわる危険は暴落だけじゃない (マイナビニュース, 2018/01/23 13:39)
https://news.mynavi.jp/article/20180123-575188/

◆Lazarus Group, Fancy Bear Most Active Threat Groups in 2017 (DARKReading, 2018/01/31)
https://www.darkreading.com/vulnerabilities---threats/lazarus-group-fancy-bear-most-active-threat-groups-in-2017/d/d-id/1330954?print=yes

◆A Slice of 2017 Sofacy Activity (SecureList, 2018/02/20)
https://securelist.com/a-slice-of-2017-sofacy-activity/83930/

◆Kaspersky – Sofacy ‘s campaigns overlap with other APT groups’ operations (Security Affairs, 2018/03/12)
http://securityaffairs.co/wordpress/70129/apt/sofacy-apt-operations.html
http://malware-log.hatenablog.com/entry/2018/03/12/000000_5

◆ロシアのハッカー集団、欧州の政治研究団体を攻撃--マイクロソフトが公表 (ZDNet, 2019/02/21 12:51)
https://japan.zdnet.com/article/35133085/
https://malware-log.hatenablog.com/entry/2019/02/21/000000

◆露ハッカー集団がプリンターなどから企業に侵入--マイクロソフトが警告 (ZDNet, 2019/08/07 10:28)
https://japan.zdnet.com/article/35140975/
https://malware-log.hatenablog.com/entry/2019/08/07/000000_2


【解説記事】

◆APT28 stronger, faster in recent months (SC Magazine, 2015/12/04)
https://www.scmagazine.com/apt28-hitting-higher-profile-targets-using-more-sophisticated-methods/article/533260/

◆New report undresses 'Russian speaking' APT 28 (SC Magazine, 2015/12/21)
https://www.scmagazine.com/new-report-undresses-russian-speaking-apt-28/article/533384/

◆APTs flutter false flags (SC magazine, 2016/03/23)
https://www.scmagazine.com/apts-flutter-false-flags/article/528643/

◆BfV agency says Russia is behind German cyber-attacks (SC Magazine, 2016/05/16)
https://www.scmagazine.com/bfv-agency-says-russia-is-behind-german-cyber-attacks/article/527687/

◆Clinton Foundation possibly breached by Russian hackers who targeted DNC (SC Magazine, 2016/06/22)
https://www.scmagazine.com/clinton-foundation-possibly-breached-by-russian-hackers-who-targeted-dnc/article/529584/

◆Guccifer 2.0 leaks docs on 11K donors, tries to draw attention back to DNC hacks (SC Magazine, 2016/07/15)
https://www.scmagazine.com/guccifer-20-leaks-docs-on-11k-donors-tries-to-draw-attention-back-to-dnc-hacks/article/527898/

◆Trump's Russian interests and Guccifer 2.0 (SC Magazine, 2016/07/26)
https://www.scmagazine.com/trumps-russian-interests-and-guccifer-20/article/529908/

◆Russian APT's DealersChoice exploit tool is a raw deal for Flash users (SC Magazine, 2016/10/18)
https://www.scmagazine.com/russian-apts-dealerschoice-exploit-tool-is-a-raw-deal-for-flash-users/article/566690/

◆Google and Microsoft in dust-up over vulnerability disclosure (SC Magazine, 2016/11/02)
https://www.scmagazine.com/google-and-microsoft-in-dust-up-over-vulnerability-disclosure/article/570039/


【ブログ】

◆SOFACYの‘KOMPLEX’、OS Xのトロイの木馬 (paloalto, 2016/09/27 16:00)
https://www.paloaltonetworks.jp/company/in-the-news/2016/160927_unit42-sofacys-komplex-os-x-trojan.html

◆サイバー攻撃者集団「Pawn Storm」は 2017 年後半も活発に活動-新しい標的と政治的動機に基づく攻撃- (Trendmicro, 2018/01/16)
http://blog.trendmicro.co.jp/archives/16804

◆Masha and these Bears (SecureList(Kaspersky), 2017/03/09 17:00)
https://securelist.com/masha-and-these-bears/84311/

◆ドイツ政府からウクライナ関連文書が流出=独誌 (Sputnik, 2018/03/11)
https://jp.sputniknews.com/incidents/201803114657090/
http://malware-log.hatenablog.com/entry/2018/03/11/000000


【資料】

◆Sednit Part1: Approaching the Target (ESET, 2016/10)
https://www.welivesecurity.com/wp-content/uploads/2016/10/eset-sednit-part1.pdf


【参考画像】

f:id:tanigawa:20180417185202j:plain
出典: http://www.security-next.com/053950


【インディケータ情報】

■ハッシュ情報(MD5)

8f9f697aa6697acee70336f66f295837
1a4b9a6b321da199aa6d10180e889313
842454b48f5f800029946b1555fba7fc
d4a5d44184333442f5015699c2b8af28
1421419d1be31f1f9ea60e8ed87277db
b1d1a2c64474d2f6e7a5db71ccbafa31
953c7321c4959655fdd53302550ce02d
57601d717fcf358220340675f8d63c8a
02b79c468c38c4312429a499fa4f6c81
85cd38f9e2c9397a18013a8921841a04
f8e92d8b5488ea76c40601c8f1a08790
66b4fb539806ce27be184b6735584339
e8e1fcf757fe06be13bead43eaa1338c
953c7321c4959655fdd53302550ce02d
aa2aac4606405d61c7e53140d35d7671
85cd38f9e2c9397a18013a8921841a04
57601d717fcf358220340675f8d63c8a
16e1ca26bc66e30bfa52f8a08846613d
f8e92d8b5488ea76c40601c8f1a08790
b137c809e3bf11f2f5d867a6f4215f95
237e6dcbc6af50ef5f5211818522c463
88009adca35560810ec220544e4fb6aa
2163a33330ae5786d3e984db09b2d9d2
02b79c468c38c4312429a499fa4f6c81
842454b48f5f800029946b1555fba7fc
d4a5d44184333442f5015699c2b8af28
b88633376fbb144971dcb503f72fd192
8f9f697aa6697acee70336f66f295837
b6f77273cbde76896a36e32b0c0540e1
1a4b9a6b321da199aa6d10180e889313
1421419d1be31f1f9ea60e8ed87277db
1a4b9a6b321da199aa6d10180e889313
9b10685b774a783eabfecdb6119a8aa3
aa34fb2e5849bff4144a1c98a8158970
aced5525ba0d4f44ffd01c4db2730a34
b1d1a2c64474d2f6e7a5db71ccbafa31
b924ff83d9120d934bb49a7a2e3c4292
cdb58c2999eeda58a9d0c70f910d1195
d4a5d44184333442f5015699c2b8af28
d6f2bf2066e053e58fe8bcd39cb2e9ad
34dc9a69f33ba93e631cd5048d9f2624
1c6f8eba504f2f429abf362626545c79
139c9ac0776804714ebe8b8d35a04641
e228cd74103dc069663bb87d4f22d7d5
bed5bc0a8aae2662ea5d2484f80c1760
8c3f5f1fff999bc783062dd50357be79
5882a8dd4446abd137c05d2451b85fea
296c956fe429cedd1b64b78e66797122
82f06d7157dd28a75f1fbb47728aea25
9a975e0ddd32c0deef1318c485358b20
529424eae07677834a770aaa431e6c54
4cafde8fa7d9e67194d4edd4f2adb92b
f6b2ef4daf1b78802548d3e6d4de7ba7
ede5d82bb6775a9b1659dccb699fadcb
116d2fc1665ce7524826a624be0ded1c
20ff290b8393f006eaf4358f09f13e99
4b02dfdfd44df3c88b0ca8c2327843a4
c789ec7537e300411d523aef74407a5e
0b32e65caf653d77cab2a866ee2d9dbc
27faa10d1bec1a25f66e88645c695016
647edddf61954822ddb7ab3341f9a6c5
2f04b8eb993ca4a3d98607824a10acfb
9fe3a0fb3304d749aeed2c3e2e5787eb
62deab0e5d61d6bf9e0ba83d9e1d7e2b
86b607fe63c76b3d808f84969cb1a781
f62182cf0ab94b3c97b0261547dfc6cf
504182aaa5575bb38bf584839beb6d51
d79a21970cad03e22440ea66bd85931f
452ed4c80c1d20d111a1dbbd99d649d5
efd8a516820c44ddbf4cc8ed7f30df9c
ff0e4f31a6b18b676b9518d4a748fed1
bd3e9f7e65e18bb9a7c4ff8a8aa3a784
86146d38b738d5bfaff7e85a23dcc53e
f01a9a2d1e31332ed36c1a4d2839f412


■ハッシュ情報(Sha256)

  • 5961861d2b9f50d05055814e6bfd1c6291b30719f8a4d02d4cf80c2e87753fa1
  • ae6b45a92384f6e43672e617c53a44225e2944d66c1ffb074694526386074145
  • 2c71eb5c781daa43047fa6e3d85d51a061aa1dfa41feb338e0d4139a6dfd6910
  • 19aa5019f3c00211182b2a80dd9675721dac7cfb31d174436d3b8ec9f97d898b
  • 316e89d866d5c710530c2103f183d86c31e9a90d55e2ebc2dda94f112f3bdb6d
  • efa0b414a831cbf724d1c67808b7483dec22a981ae670947793d114048f88057
  • e90064884190b14a6621c18d1f9719a37b9e5f98506e28ff0636438e3282098b
  • 9a6692690c03ec33c758cb5648be1ed886ff039e6b72f1c43b23fbd9c342ce8c
  • bc2f07066c624663b0a6f71cb965009d4d9b480213de51809cdc454ca55f1a91
  • e6ecb146f469d243945ad8a5451ba1129c5b190f7d50c64580dbad4b8246f88e
  • e88f5bf4be37e0dc90ba1a06a2d47faaeea9047fec07c17c2a76f9f7ab98acf0
  • d26dae0d8e5c23ec35e8b9cf126cded45b8096fc07560ad1c06585357921eeed
  • 2965c1b6ab9d1601752cb4aa26d64a444b0a535b1a190a70d5ce935be3f91699
  • 312dc69dd6ea16842d6e58cd7fd98ba4d28eefeb4fd4c4d198fac4eee76f93c3
  • 4ff6a97d06e2e843755be8697f3324be36e1ebeb280bb45724962ce4b6710297
  • 45d804f35266b26bf63e3d616715fc593931e33aa07feba5ad6875609692efa2
  • cb0c8681a407a76f8c0fd2512197aafad8120aa62e5c871c29d1fd2a102bc628
  • 75ef6ea0265d2629c920a6a1c0d1dd91d3c0eda86445c7d67ebb9b30e35a2a9f
  • 471b7edbd3b344d3e9f18fe61535de6077ea9fd8aa694221529a2ff86b06e856
  • ae0dd5df608f581bbc075a88c48eedeb7ac566ff750e0a1baa7718379941db86
  • 646f837a9a5efbbdde474411bb48977bff37abfefaa4d04f9fb2a05a23c6d543
  • 3d5e3648653d74e2274bb531d1724a03c2c9941fdf14b8881143f0e34fe50f03
  • 9fbd69da93fbe0e8f57df3161db0b932d01b6593da86222fabef2be31899156d
  • 723983883fc336cb575875e4e3ff0f19bcf05a2250a44fb7c2395e564ad35d48
  • f45b183ef9404166173185b75f2f49f26b2e44b8b81c7caf6b1fc430f373b50b


■ドメイン

  • adfs.senate.group
  • adfs-senate.email
  • adfs-senate.services
  • adfs.senate.qov.info
  • chmail.ir.udelivered.tk
  • webmail-ibsf.org
  • fil-luge.com
  • biathlovvorld.com
  • mail-ibu.eu
  • fisski.ca
  • iihf.eu
  • nethostnet.com
  • hostsvcnet.com
  • etcrem.net
  • movieultimate.com
  • newfilmts.com
  • fastdataexchange.org
  • liveweatherview.com
  • analyticsbar.org
  • analyticstest.net
  • lifeofmentalservice.com
  • meteost.com
  • righttopregnantpower.com
  • kiteim.org
  • adobe-flash-updates.org
  • generalsecurityscan.com
  • globalresearching.org
  • lvueton.com
  • audiwheel.com
  • online-reggi.com
  • fsportal.net
  • netcorpscanprotect.com
  • mvband.net
  • mvtband.net
  • viters.org
  • treepastwillingmoment.com
  • sendmevideo.org
  • satellitedeluxpanorama.com
  • ppcodecs.com
  • encoder-info.tk
  • wmdmediacodecs.com
  • postlkwarn.com
  • shcserv.com
  • versiontask.com
  • webcdelivery.com
  • miropc.org
  • securityprotectingcorp.com
  • uniquecorpind.com
  • appexsrv.net
  • adobeupgradeflash.com

Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2019