TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究ログ

APT28 (まとめ)

【概要】

■ 別名

APT28
Sofacy
Sednit
Fancy Bear
Tsar Team
STRONTIUM
Pawn Storm
Threat Group-4127
TG-4127


■国家の背景

APT28 ロシア連邦軍参謀本部情報総局(GRU)
APT29 ロシア連邦保安局(FSB)

■特徴

  • 使用マルウェア
    • Komplex
  • 攻撃方法
    • MacKeeperの脆弱性を利用
  • APT28の活動
    • 少なくとも2007年より活動を展開
    • 最近、世界反ドーピング機構(WADA)に対する攻撃を実施


【辞典】

◆Fancy Bear (Wikipedia)
https://en.wikipedia.org/wiki/Fancy_Bear

◆APT28 (ATT&CK)
https://attack.mitre.org/groups/G0007/

【ニュース】

◆Clues point to Russia in long-running spying campaign (PCworld, 2014/10/27)
http://www.pcworld.com/article/2839652/clues-point-to-russia-in-longrunning-spying-campaign.html

◆各国の軍事情報を狙うサイバースパイ、ロシア政府が関与か (ITmedia, 2014/10/29 07:43)

FireEyeは一連の攻撃について、「ロシア政府がスポンサーしている可能性が極めて大きい」と推測する

http://www.itmedia.co.jp/enterprise/articles/1410/29/news049.html

◆[FT]西側への高度サイバー攻撃、裏にロシアの可能性 (日経新聞, 2014/10/30 07:00)
http://www.nikkei.com/article/DGXMZO79040130Z21C14A0000000/

◆米ホワイトハウスのネットワークにハッカーが侵入--ロシアを怪しむ声も (ZDNet, 2014/10/30 12:03)
http://japan.zdnet.com/security/analysis/35055888/

◆ロシア政府がサイバー攻撃を支援か (JBPress, 2014/10/30)
中国ハッカー集団を突き止めた有力セキュリティー会社が報告書
http://jbpress.ismedia.jp/articles/-/42090

◆米セキュリティー企業、ロシアのハッカー集団「APT28」に関する報告書発表 (Online Homeland security, 2014/10/31)
http://viktorvoksanaev.blogspot.jp/2014/10/apt28.html

◆日本にちらつく? 国家によるサイバースパイの影 (ITmedia, 2014/11/25 17:06)

海外では国家が関与するサイバースパイ行為や社会インフラへの攻撃が常態化しつつあるが、日本も無縁ではなくなりつつあるとファイア・アイ

http://www.itmedia.co.jp/enterprise/articles/1411/25/news124.html

◆日本政府を狙った攻撃は否定できない - FireEye、サイバー攻撃「APT28」を解説 (マイナビニュース, 2014/11/25)
http://news.mynavi.jp/articles/2014/11/25/fireeye/

◆ロシア政府が関係する「APT28」 - 中国発とは異なる傾向 (Security NEXT, 2014/11/25)
http://www.security-next.com/053950

◆個人情報には見向きもしない、ロシア発のサイバースパイ活動「APT28」 (@IT, 2014/11/28)

ファイア・アイの最高技術責任者(CTO)に就任した名和利男氏が、ロシア政府から支援を受けた標的型攻撃と思われる「APT28」に関する説明会を開催。機密情報を狙うサイバースパイ活動に対処するため、「潜在的な脅威」を積極的に検知する取り組みが必要だと述べた

http://www.atmarkit.co.jp/ait/articles/1411/25/news149.html

◆サイバー攻撃で原発を停止!世界ハッカー極悪ランキング (日刊SPA, 2015/03/30)
http://nikkan-spa.jp/817832

◆ロシアのハッカー集団、「Flash」「Windows」を標的に--FireEye (CNet, 2015/04/20 10:15)
http://japan.cnet.com/news/business/35063398/

◆FlashとWindowsの脆弱性を突くコンボ攻撃発生、Windowsの脆弱性は未解決 (ITmedia, 2015/04/21 07:23)

FireEyeは特定の標的を執拗に狙うAPT攻撃を検出。Flashの脆弱性は最新版で修正されたが、Windowsの権限昇格の脆弱性はパッチを開発中だという

http://www.itmedia.co.jp/enterprise/articles/1504/21/news037.html

◆ロシアのサイバーエスピオナージ集団、銀行を襲う計画 (サイバーセキュリティ.com)
http://サイバーセキュリティ.com/column/2333

◆The Italian Connection: An analysis of exploit supply chains and digital quartermasters (ShadowServer)
http://www.securebinary.co.za/mabiribobi/uploads/2015/08/The-Italian-Connection-An-analysis-of-exploit-supply-chains-and-digital-quartermasters.pdf

◆Cyberspy group Sofacy returns with new tools (Enterprise Innovation)
http://www.enterpriseinnovation.net/article/cyberspy-group-sofacy-returns-new-tools-2084914713

◆ドイツ、一連の国際サイバー攻撃でロシアを非難 (AFP BB NEWS, 2016/05/14 14:53)
http://www.afpbb.com/articles/-/3087077

◆Flash Playerのゼロデイ脆弱性、過去の標的型攻撃で利用された脆弱性と類似 (Security NEXT, 2016/05/19)
http://www.security-next.com/070025

◆米国政府機関に対する新たなSOFACY攻撃 (paloalto, 2016/06/15 15:00)
https://www.paloaltonetworks.jp/company/in-the-news/2016/1600615_unit42-new-sofacy-attacks-against-us-government-agency.html

◆Lone hacker reportedly takes credit for DNC intrusions, releases opposition files on Trump (SC Magazine, 2016/06/16)
https://www.scmagazine.com/guccifer-20-claims-responsibility-for-dnc-hack-releases-reported-trump-opposition-files/article/529443/

◆最近のSOFACY攻撃で使われているOFFICE TEST持続手法 (paloalto, 2016/07/21)
https://www.paloaltonetworks.jp/company/in-the-news/2016/160721-unit42-technical-walkthrough-office-test-persistence-method-used-in-recent-sofacy-attacks.html

◆扱いやすいトランプ氏を大統領にするため? 民主党のメール流出事件、背後にロシア政府の影 (NewSphere, 2016/07/28)
https://newsphere.jp/world-report/20160728-2/

◆ロシア政府と関係ある「Sofacy」、OS X向けトロイの木馬を展開か (Security NEXT, 2016/09/27)
http://www.security-next.com/074255

◆ハッカー集団Fancy Bear事件に関する世界アンチ・ドーピング機構(WADA)サマリーについて (JADA, 2016/10/11)
http://www.playtruejapan.org/info/20161011/

◆Windowsに深刻な脆弱性、標的型攻撃で悪用 - 11月8日にパッチが公開予定 (Security NEXT, 2016/11/02)
http://www.security-next.com/075423

◆ロシアによる米国へのサイバー攻撃「グリズリー・ステップ」 (AFP BB NEWS, 2016/12/30 12:39)
http://www.afpbb.com/articles/-/3112801

◆Cookieヘッダーを用いてC&CサーバとやりとりするマルウエアChChes(2017-01-26) (JPCERT/CC, 2017/01/26)
https://www.jpcert.or.jp/magazine/acreport-ChChes.html

◆サイバースパイ集団「セドニット」の実態に迫る (キャノンITソリューションズ, 2017/02/20)
https://eset-info.canon-its.jp/malware_info/trend/detail/170220.html

◆日本を標的にした新しい脅威を発見:スネーク・ワイン (Cylance, 2017/02/27)
https://www.cylance.com/ja_jp/blog/jp-the-deception-project-a-new-japanese-centric-threat.html

◆Microsoftがロシアのハッカー集団Fancy Bearとの静かなるサイバーウォーに勝利 (Technch, 2017/07/21)
http://jp.techcrunch.com/2017/07/21/20170720microsoft-fancy-bear-lawsuit-poulsen/

◆悪名高きサイバー攻撃集団「APT28」がNSAのツールを使ってホテル宿泊客のデータを盗む (THE ZERO/ONE, 2017/08/23 08:00)
https://the01.jp/p0005610/

◆先週のサイバー事件簿 - 仮想通貨にまつわる危険は暴落だけじゃない (マイナビニュース, 2018/01/23 13:39)
https://news.mynavi.jp/article/20180123-575188/

◆Lazarus Group, Fancy Bear Most Active Threat Groups in 2017 (DARKReading, 2018/01/31)
https://www.darkreading.com/vulnerabilities---threats/lazarus-group-fancy-bear-most-active-threat-groups-in-2017/d/d-id/1330954?print=yes

◆A Slice of 2017 Sofacy Activity (SecureList, 2018/02/20)
https://securelist.com/a-slice-of-2017-sofacy-activity/83930/

◆Kaspersky – Sofacy ‘s campaigns overlap with other APT groups’ operations (Security Affairs, 2018/03/12)
http://securityaffairs.co/wordpress/70129/apt/sofacy-apt-operations.html
http://malware-log.hatenablog.com/entry/2018/03/12/000000_5


【解説記事】

◆APT28 stronger, faster in recent months (SC Magazine, 2015/12/04)
https://www.scmagazine.com/apt28-hitting-higher-profile-targets-using-more-sophisticated-methods/article/533260/

◆New report undresses 'Russian speaking' APT 28 (SC Magazine, 2015/12/21)
https://www.scmagazine.com/new-report-undresses-russian-speaking-apt-28/article/533384/

◆APTs flutter false flags (SC magazine, 2016/03/23)
https://www.scmagazine.com/apts-flutter-false-flags/article/528643/

◆BfV agency says Russia is behind German cyber-attacks (SC Magazine, 2016/05/16)
https://www.scmagazine.com/bfv-agency-says-russia-is-behind-german-cyber-attacks/article/527687/

◆Clinton Foundation possibly breached by Russian hackers who targeted DNC (SC Magazine, 2016/06/22)
https://www.scmagazine.com/clinton-foundation-possibly-breached-by-russian-hackers-who-targeted-dnc/article/529584/

◆Guccifer 2.0 leaks docs on 11K donors, tries to draw attention back to DNC hacks (SC Magazine, 2016/07/15)
https://www.scmagazine.com/guccifer-20-leaks-docs-on-11k-donors-tries-to-draw-attention-back-to-dnc-hacks/article/527898/

◆Trump's Russian interests and Guccifer 2.0 (SC Magazine, 2016/07/26)
https://www.scmagazine.com/trumps-russian-interests-and-guccifer-20/article/529908/

◆Russian APT's DealersChoice exploit tool is a raw deal for Flash users (SC Magazine, 2016/10/18)
https://www.scmagazine.com/russian-apts-dealerschoice-exploit-tool-is-a-raw-deal-for-flash-users/article/566690/

◆Google and Microsoft in dust-up over vulnerability disclosure (SC Magazine, 2016/11/02)
https://www.scmagazine.com/google-and-microsoft-in-dust-up-over-vulnerability-disclosure/article/570039/


【ブログ】

◆SOFACYの‘KOMPLEX’、OS Xのトロイの木馬 (paloalto, 2016/09/27 16:00)
https://www.paloaltonetworks.jp/company/in-the-news/2016/160927_unit42-sofacys-komplex-os-x-trojan.html

◆サイバー攻撃者集団「Pawn Storm」は 2017 年後半も活発に活動-新しい標的と政治的動機に基づく攻撃- (Trendmicro, 2018/01/16)
http://blog.trendmicro.co.jp/archives/16804

◆Masha and these Bears (SecureList(Kaspersky), 2017/03/09 17:00)
https://securelist.com/masha-and-these-bears/84311/

◆ドイツ政府からウクライナ関連文書が流出=独誌 (Sputnik, 2018/03/11)
https://jp.sputniknews.com/incidents/201803114657090/
http://malware-log.hatenablog.com/entry/2018/03/11/000000


【資料】

◆Sednit Part1: Approaching the Target (ESET, 2016/10)
https://www.welivesecurity.com/wp-content/uploads/2016/10/eset-sednit-part1.pdf


【参考画像】

f:id:tanigawa:20180417185202j:plain
出典: http://www.security-next.com/053950


【インディケータ情報】

■ハッシュ情報(MD5)

  • 8f9f697aa6697acee70336f66f295837
  • 1a4b9a6b321da199aa6d10180e889313
  • 842454b48f5f800029946b1555fba7fc
  • d4a5d44184333442f5015699c2b8af28
  • 1421419d1be31f1f9ea60e8ed87277db
  • b1d1a2c64474d2f6e7a5db71ccbafa31
  • 953c7321c4959655fdd53302550ce02d
  • 57601d717fcf358220340675f8d63c8a
  • 02b79c468c38c4312429a499fa4f6c81
  • 85cd38f9e2c9397a18013a8921841a04
  • f8e92d8b5488ea76c40601c8f1a08790
  • 66b4fb539806ce27be184b6735584339
  • e8e1fcf757fe06be13bead43eaa1338c
  • 953c7321c4959655fdd53302550ce02d
  • aa2aac4606405d61c7e53140d35d7671
  • 85cd38f9e2c9397a18013a8921841a04
  • 57601d717fcf358220340675f8d63c8a
  • 16e1ca26bc66e30bfa52f8a08846613d
  • f8e92d8b5488ea76c40601c8f1a08790
  • b137c809e3bf11f2f5d867a6f4215f95
  • 237e6dcbc6af50ef5f5211818522c463
  • 88009adca35560810ec220544e4fb6aa
  • 2163a33330ae5786d3e984db09b2d9d2
  • 02b79c468c38c4312429a499fa4f6c81
  • 842454b48f5f800029946b1555fba7fc
  • d4a5d44184333442f5015699c2b8af28
  • b88633376fbb144971dcb503f72fd192
  • 8f9f697aa6697acee70336f66f295837
  • b6f77273cbde76896a36e32b0c0540e1
  • 1a4b9a6b321da199aa6d10180e889313
  • 1421419d1be31f1f9ea60e8ed87277db
  • 1a4b9a6b321da199aa6d10180e889313
  • 9b10685b774a783eabfecdb6119a8aa3
  • aa34fb2e5849bff4144a1c98a8158970
  • aced5525ba0d4f44ffd01c4db2730a34
  • b1d1a2c64474d2f6e7a5db71ccbafa31
  • b924ff83d9120d934bb49a7a2e3c4292
  • cdb58c2999eeda58a9d0c70f910d1195
  • d4a5d44184333442f5015699c2b8af28
  • d6f2bf2066e053e58fe8bcd39cb2e9ad
  • 34dc9a69f33ba93e631cd5048d9f2624
  • 1c6f8eba504f2f429abf362626545c79
  • 139c9ac0776804714ebe8b8d35a04641
  • e228cd74103dc069663bb87d4f22d7d5
  • bed5bc0a8aae2662ea5d2484f80c1760
  • 8c3f5f1fff999bc783062dd50357be79
  • 5882a8dd4446abd137c05d2451b85fea
  • 296c956fe429cedd1b64b78e66797122
  • 82f06d7157dd28a75f1fbb47728aea25
  • 9a975e0ddd32c0deef1318c485358b20
  • 529424eae07677834a770aaa431e6c54
  • 4cafde8fa7d9e67194d4edd4f2adb92b
  • f6b2ef4daf1b78802548d3e6d4de7ba7
  • ede5d82bb6775a9b1659dccb699fadcb
  • 116d2fc1665ce7524826a624be0ded1c
  • 20ff290b8393f006eaf4358f09f13e99
  • 4b02dfdfd44df3c88b0ca8c2327843a4
  • c789ec7537e300411d523aef74407a5e
  • 0b32e65caf653d77cab2a866ee2d9dbc
  • 27faa10d1bec1a25f66e88645c695016
  • 647edddf61954822ddb7ab3341f9a6c5
  • 2f04b8eb993ca4a3d98607824a10acfb
  • 9fe3a0fb3304d749aeed2c3e2e5787eb
  • 62deab0e5d61d6bf9e0ba83d9e1d7e2b
  • 86b607fe63c76b3d808f84969cb1a781
  • f62182cf0ab94b3c97b0261547dfc6cf
  • 504182aaa5575bb38bf584839beb6d51
  • d79a21970cad03e22440ea66bd85931f
  • 452ed4c80c1d20d111a1dbbd99d649d5
  • efd8a516820c44ddbf4cc8ed7f30df9c
  • ff0e4f31a6b18b676b9518d4a748fed1
  • bd3e9f7e65e18bb9a7c4ff8a8aa3a784
  • 86146d38b738d5bfaff7e85a23dcc53e
  • f01a9a2d1e31332ed36c1a4d2839f412


■ハッシュ情報(Sha256)

  • 5961861d2b9f50d05055814e6bfd1c6291b30719f8a4d02d4cf80c2e87753fa1
  • ae6b45a92384f6e43672e617c53a44225e2944d66c1ffb074694526386074145
  • 2c71eb5c781daa43047fa6e3d85d51a061aa1dfa41feb338e0d4139a6dfd6910
  • 19aa5019f3c00211182b2a80dd9675721dac7cfb31d174436d3b8ec9f97d898b
  • 316e89d866d5c710530c2103f183d86c31e9a90d55e2ebc2dda94f112f3bdb6d
  • efa0b414a831cbf724d1c67808b7483dec22a981ae670947793d114048f88057
  • e90064884190b14a6621c18d1f9719a37b9e5f98506e28ff0636438e3282098b
  • 9a6692690c03ec33c758cb5648be1ed886ff039e6b72f1c43b23fbd9c342ce8c
  • bc2f07066c624663b0a6f71cb965009d4d9b480213de51809cdc454ca55f1a91
  • e6ecb146f469d243945ad8a5451ba1129c5b190f7d50c64580dbad4b8246f88e
  • e88f5bf4be37e0dc90ba1a06a2d47faaeea9047fec07c17c2a76f9f7ab98acf0
  • d26dae0d8e5c23ec35e8b9cf126cded45b8096fc07560ad1c06585357921eeed
  • 2965c1b6ab9d1601752cb4aa26d64a444b0a535b1a190a70d5ce935be3f91699
  • 312dc69dd6ea16842d6e58cd7fd98ba4d28eefeb4fd4c4d198fac4eee76f93c3
  • 4ff6a97d06e2e843755be8697f3324be36e1ebeb280bb45724962ce4b6710297
  • 45d804f35266b26bf63e3d616715fc593931e33aa07feba5ad6875609692efa2
  • cb0c8681a407a76f8c0fd2512197aafad8120aa62e5c871c29d1fd2a102bc628
  • 75ef6ea0265d2629c920a6a1c0d1dd91d3c0eda86445c7d67ebb9b30e35a2a9f
  • 471b7edbd3b344d3e9f18fe61535de6077ea9fd8aa694221529a2ff86b06e856
  • ae0dd5df608f581bbc075a88c48eedeb7ac566ff750e0a1baa7718379941db86
  • 646f837a9a5efbbdde474411bb48977bff37abfefaa4d04f9fb2a05a23c6d543
  • 3d5e3648653d74e2274bb531d1724a03c2c9941fdf14b8881143f0e34fe50f03
  • 9fbd69da93fbe0e8f57df3161db0b932d01b6593da86222fabef2be31899156d
  • 723983883fc336cb575875e4e3ff0f19bcf05a2250a44fb7c2395e564ad35d48
  • f45b183ef9404166173185b75f2f49f26b2e44b8b81c7caf6b1fc430f373b50b


■ドメイン

  • adfs.senate.group
  • adfs-senate.email
  • adfs-senate.services
  • adfs.senate.qov.info
  • chmail.ir.udelivered.tk
  • webmail-ibsf.org
  • fil-luge.com
  • biathlovvorld.com
  • mail-ibu.eu
  • fisski.ca
  • iihf.eu
  • nethostnet.com
  • hostsvcnet.com
  • etcrem.net
  • movieultimate.com
  • newfilmts.com
  • fastdataexchange.org
  • liveweatherview.com
  • analyticsbar.org
  • analyticstest.net
  • lifeofmentalservice.com
  • meteost.com
  • righttopregnantpower.com
  • kiteim.org
  • adobe-flash-updates.org
  • generalsecurityscan.com
  • globalresearching.org
  • lvueton.com
  • audiwheel.com
  • online-reggi.com
  • fsportal.net
  • netcorpscanprotect.com
  • mvband.net
  • mvtband.net
  • viters.org
  • treepastwillingmoment.com
  • sendmevideo.org
  • satellitedeluxpanorama.com
  • ppcodecs.com
  • encoder-info.tk
  • wmdmediacodecs.com
  • postlkwarn.com
  • shcserv.com
  • versiontask.com
  • webcdelivery.com
  • miropc.org
  • securityprotectingcorp.com
  • uniquecorpind.com
  • appexsrv.net
  • adobeupgradeflash.com

Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2019