TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究・参照ログ

APT29 / Nobelium (まとめ)

【要点】

◎ロシアのサイバー攻撃組織。SVR / СВРの指示のもと活動

【目次】

概要

【ATT&CK ID】
ID(ATT&CK)
備考
G0016 APT29
【別名】
攻撃組織名
命名組織
APT 29 FireEye
CozyDuke
SVR
The Dukes
Nobelium Microsoft (ノべリウム)
UNC2452 FireEye
Dark Halo
StellarParticle
YTTRIUM
Cozy Bear
IRON HEMLOCK
Cloaked Ursa UNIT42(Palo Alto)
【概要】
攻撃組織名
備考
APT28 ロシア連邦軍参謀本部情報総局(GRU)
APT29 ロシア連邦保安局(FSB)
  • 確認ベンダー
    1. Crowdstrike
    2. Fireeye
    3. Fidelis
  • 使用するマルウェア
    • OnionDuke
【最新情報】

◆MagicWeb: NOBELIUM’s post-compromise trick to authenticate as anyone (Microsoft, 2022/08/24)
[MagicWeb:誰でも認証できるNOBELIUMの暗号化後の仕掛け]
https://www.microsoft.com/security/blog/2022/08/24/magicweb-nobeliums-post-compromise-trick-to-authenticate-as-anyone/
https://malware-log.hatenablog.com/entry/2022/08/24/000000_1

◆MS、管理者の認証情報を悪用する「MagicWeb」について警告 (ZDNet, 2022/08/26 11:42)
https://japan.zdnet.com/article/35192373/
https://malware-log.hatenablog.com/entry/2022/08/26/000000_2

記事

【ニュース】

■2015年

◆The CozyDuke APT (Kaspersky(Securelist), 2015/04/21)
https://securelist.com/the-cozyduke-apt/69731/
https://malware-log.hatenablog.com/entry/2015/04/21/000000_2

◆No monkeys for CozyDuke (Kaspersky, 2015/04/28)
https://www.kaspersky.com/blog/no-monkeys-for-cozyduke/8543/
https://malware-log.hatenablog.com/entry/2015/04/28/000000_1

◆エフセキュア、CozyDukeと社会的地位のある標的を狙う諜報活動との関連を指摘 (PR Times, 2015/05/12 08:30)
http://prtimes.jp/main/html/rd/p/000000243.000001340.html
https://malware-log.hatenablog.com/entry/2015/05/12/000000_2

◆政府機関狙うサイバー攻撃「CozyDuke」 - 「MiniDuke」と関連か (Security NEXT, 2015/05/14)
http://www.security-next.com/058391
https://malware-log.hatenablog.com/entry/2015/05/14/000000


■2016年

◆Guccifer 2.0 leaks docs on 11K donors, tries to draw attention back to DNC hacks (SC Magazine, 2016/07/15)
https://www.scmagazine.com/guccifer-20-leaks-docs-on-11k-donors-tries-to-draw-attention-back-to-dnc-hacks/article/527898/
https://malware-log.hatenablog.com/entry/2016/07/15/000000_2

◆Trump's Russian interests and Guccifer 2.0 (SC Magazine, 2016/07/26)
https://www.scmagazine.com/trumps-russian-interests-and-guccifer-20/article/529908/
https://malware-log.hatenablog.com/entry/2016/07/26/000000_2

◆扱いやすいトランプ氏を大統領にするため? 民主党のメール流出事件、背後にロシア政府の影 (NewSphere, 2016/07/28)
https://newsphere.jp/world-report/20160728-2/
https://malware-log.hatenablog.com/entry/2016/07/28/000000

◆Russian ‘Dukes’ of Hackers Pounce on Trump Win (Krebs on Security, 2016/11/16)
https://krebsonsecurity.com/tag/apt29/
https://malware-log.hatenablog.com/entry/2016/11/16/000000_2

◆ロシアによる米国へのサイバー攻撃「グリズリー・ステップ」 (AFP BB NEWS, 2016/12/30 12:39)
http://www.afpbb.com/articles/-/3112801
https://malware-log.hatenablog.com/entry/2016/12/30/000000_1


■2017年

◆APT29 Domain Fronting With TOR (FireEye, 2017/03/27)
https://www.fireeye.com/blog/threat-research/2017/03/apt29_domain_frontin.html
https://malware-log.hatenablog.com/entry/2017/03/29/000000_5


■2018年

◆オランダ情報機関、米民主党へのロシアのハッキングを防犯カメラで「目撃」 (AFP BB NEWS, 2018/01/27 13:12)
http://www.afpbb.com/articles/-/3160177?cx_position=1
https://malware-log.hatenablog.com/entry/2018/01/27/000000_9

◆Dissecting Cozy Bear’s malicious LNK file (CyberForensicator, 2018/12/23)
http://cyberforensicator.com/2018/12/23/dissecting-cozy-bears-malicious-lnk-file/
https://malware-log.hatenablog.com/entry/2018/12/23/000000_2


■2019年

◆10年以上活動するロシアのハッカー集団、2年ぶりに表舞台に (MIT Technology Review, 2019/11/18)
https://www.technologyreview.jp/s/168417/kremlin-hackers-are-back-in-the-spotlight-after-2016-election-breach/
https://malware-log.hatenablog.com/entry/2019/11/18/000000_<<


■2020年

◆ハッカー集団「APT29」に対抗しうるMcAfee MVISION EDRの性能とは (ASCII.jp, 2020/05/21 17:00)
https://ascii.jp/elem/000/004/013/4013804/
https://malware-log.hatenablog.com/entry/2020/05/21/000000_4

◆ロシア、ワクチン研究にサイバー攻撃か 米英カナダが非難 (日経新聞, 2020/07/16 23:42)
https://www.nikkei.com/article/DGXMZO61623530W0A710C2000000/
https://malware-log.hatenablog.com/entry/2020/07/16/000000_4

◆ロシア、コロナワクチン情報狙いサイバー攻撃か 英米加が非難 (ロイター, 2020/07/17 01:26)
https://jp.reuters.com/article/health-coronavirus-cyber-idJPKCN24H2OT
https://malware-log.hatenablog.com/entry/2020/07/17/000000

◆露「APT29」、ワクチン情報狙いサイバー攻撃か - 2018年の国内検知マルウェアとも関連 (Security NEXT, 2020/07/17)
http://www.security-next.com/116746/2
https://malware-log.hatenablog.com/entry/2020/07/17/000000_3

◆APT29と見られる組織が米財務省などのメールを傍受。アップデートを改ざんして侵入か(スラド, 2020/12/14 15:04)
https://security.srad.jp/story/20/12/14/027221/
https://malware-log.hatenablog.com/entry/2020/12/14/000000_5


■2021年

◇2021年1月

◆ロシア政府の支援を受けるハッキンググループによるアメリカ政府機関へのサイバー攻撃「Solorigate」は当初の予想以上の被害規模の可能性 (Gigazine, 2021/01/03 19:00)
https://gigazine.net/news/20210103-solarwinds-hack-worse-originally/
https://malware-log.hatenablog.com/entry/2021/01/03/000000


◇2021年4月

◆SolarWinds製品に対する攻撃、ロシアの諜報機関が背後に--米英が公に非難 (ZDNet, 2021/04/16 12:49)
https://japan.zdnet.com/article/35169463/
https://malware-log.hatenablog.com/entry/2021/04/16/000000_1


◇2021年5月

◆Russian cyber-spies changed tactics after the UK and US outed their techniques – so here's a list of those changes (The Register, 2021/05/07 18:49)
[ロシアのサイバー・スパイは、英国と米国が攻撃テクニックを公開した後に戦術を変更しました - その変更点をリストアップしてみました]
https://www.theregister.com/2021/05/07/ncsc_russia_vulns_smart_cities_china_warning/
https://malware-log.hatenablog.com/entry/2021/05/07/000000_9

◆ロシア系ハッカー集団、米機関を攻撃 首脳会談前に発覚 (日経新聞, 2021/05/28 21:40)
https://www.nikkei.com/article/DGXZQOCB28C6G0Y1A520C2000000/
https://malware-log.hatenablog.com/entry/2021/05/28/000000_8

◆Microsoft: Russian hackers used 4 new malware in USAID phishing (BleepingComputer, 2021/05/29 13:49)
[マイクロソフト ロシアのハッカーがUSAIDのフィッシングに4つの新しいマルウェアを使用]
https://www.bleepingcomputer.com/news/security/microsoft-russian-hackers-used-4-new-malware-in-usaid-phishing/
https://malware-log.hatenablog.com/entry/2021/05/29/000000_3

◆24カ国でサイバー攻撃 ロシアのハッカー集団か 米MS発表 (毎日新聞, 2021/05/29 10:55)
https://mainichi.jp/articles/20210529/k00/00m/030/068000c
https://malware-log.hatenablog.com/entry/2021/05/29/000000

◆マイクロソフト、ロシア「NOBELIUM」のフィッシングキャンペーンを警告 (ZDNet, 2021/05/31 11:17)
https://japan.zdnet.com/article/35171542/
https://malware-log.hatenablog.com/entry/2021/05/31/000000_3

◆米国際開発庁になりすます、「Nobelium」による進行中のフィッシングキャンペーン (CodeBook, 2021/05/31 11:24)
https://codebook.machinarecord.com/9990/
https://malware-log.hatenablog.com/entry/2021/05/31/000000_9


◇2021年6月

◆Justice Department seizes domains used in Nobelium-USAID phishing campaign (ZDNet, 2021/06/01)
[司法省、Nobelium-USAIDのフィッシング・キャンペーンに使用されたドメインを押収]
https://www.zdnet.com/article/justice-department-seizes-domains-used-in-nobelium-usaid-phishing-campaign/
https://malware-log.hatenablog.com/entry/2021/06/01/000000_2


◇2021年7月

◆アメリカ共和党全国委員会がハッカーにより攻撃を受ける、Kaseyaへの大規模ハッキングに引き続きまたもロシアからの攻撃 (Gigazine, 2021/07/07 11:03)
https://gigazine.net/news/20210707-russian-hackers-cozy-bear-rnc/
https://malware-log.hatenablog.com/entry/2021/07/07/000000

◆Googleが「ロシア政府系ハッカーがiOSのゼロデイ脆弱性を突いてヨーロッパの政府関係者を攻撃していた」と報告 (Gigazine, 2021/07/15 14:00)
https://gigazine.net/news/20210715-russian-svr-hackers-ios-zero-day-linkedin/
https://malware-log.hatenablog.com/entry/2021/07/15/000000_2


◇2021年9月

◆APT29 targets Active Directory Federation Services with stealthy backdoor (CSO, 2021/09/30 12:12)
[APT29、ステルス性の高いバックドアでActive Directory Federation Servicesを狙う]
https://www.csoonline.com/article/3635095/apt29-targets-active-directory-federation-services-with-stealthy-backdoor.html
https://malware-log.hatenablog.com/entry/2021/09/30/000000_5


◇2021年10月

◆SolarWinds攻撃関与のロシアNobeliumによる新たな攻撃--マイクロソフトが注意喚起 (ZDNet, 2021/10/26 14:11)
https://japan.zdnet.com/article/35178561/
https://malware-log.hatenablog.com/entry/2021/10/26/000000_1

◆ロシアのハッカー集団、IT関連140社攻撃 Microsoft調査 (日経新聞, 2021/10/26 04:34)
https://www.nikkei.com/article/DGXZQOGN25CYT0V21C21A0000000/
https://malware-log.hatenablog.com/entry/2021/10/26/000000


■2022年

◇2022年5月

◆ロシア政府の「サイバー攻撃」を実行する、ハッカーたちの「ダークな実態」 (現代ビジネス, 2022/05/23)
https://gendai.ismedia.jp/articles/-/95259


◇2022年7月

◆Near-undetectable malware linked to Russia's Cozy Bear (The Register, 2022/07/06 05:27)
[ロシアのCozy Bearに関連した検出不可能に近いマルウェア]
https://www.theregister.com/2022/07/06/brc4_state_sponsored_apt29/
https://malware-log.hatenablog.com/entry/2022/07/06/000000_1

◆「Googleドライブ」や「Dropbox」を悪用するサイバー攻撃が発見される (ZDNet, 2022/07/22 15:37)
https://japan.zdnet.com/article/35190777/
https://malware-log.hatenablog.com/entry/2022/07/22/000000

◆APT29 Abuses Online Storage Services Google Drive and Dropbox (Cyware, 2022/07/22)
[APT29、オンラインストレージサービス「Google Drive」「Dropbox」を悪用]
https://cyware.com/news/apt29-abuses-online-storage-services-google-drive-and-dropbox-2d799b4b
https://malware-log.hatenablog.com/entry/2022/07/22/000000_1

◆ロシアのAPT29ハッカーがオンライン ストレージ サービスのDropBoxとGoogle Driveを悪用 (UNIT42(Paloalto), 2022/07/26)
https://unit42.paloaltonetworks.jp/cloaked-ursa-online-storage-services-campaigns/
https://malware-log.hatenablog.com/entry/2022/07/26/000000_6


◇2022年8月

◆MS、管理者の認証情報を悪用する「MagicWeb」について警告 (ZDNet, 2022/08/26 11:42)
https://japan.zdnet.com/article/35192373/
https://malware-log.hatenablog.com/entry/2022/08/26/000000_2

【解説記事】

■2016年

◆Lone hacker reportedly takes credit for DNC intrusions, releases opposition files on Trump (SC Magazine, 2016/06/16)
https://www.scmagazine.com/guccifer-20-claims-responsibility-for-dnc-hack-releases-reported-trump-opposition-files/article/529443/
https://malware-log.hatenablog.com/entry/2016/06/16/000000_2

◆Clinton Foundation possibly breached by Russian hackers who targeted DNC (SC Magazine, 2016/06/22)
https://www.scmagazine.com/clinton-foundation-possibly-breached-by-russian-hackers-who-targeted-dnc/article/529584/
https://malware-log.hatenablog.com/entry/2016/06/22/000000_3

◆Trump's Russian interests and Guccifer 2.0 (SC Magazine, 2016/07/26)
https://www.scmagazine.com/trumps-russian-interests-and-guccifer-20/article/529908/
https://malware-log.hatenablog.com/entry/2016/07/26/000000_2

【ブログ】

■2015年

◆CozyDukeを侮るなかれ (Kaspersky, 2015/05/14)
https://blog.kaspersky.co.jp/no-monkeys-for-cozyduke/7488/
https://malware-log.hatenablog.com/entry/2015/05/14/000000_3

◆「Forkmeiamfamous」: Duke グループ最新の攻撃、Seaduke が登場 (Symantec, 2015/07/15)
https://www.symantec.com/connect/nl/blogs/forkmeiamfamous-duke-seaduke?page=1
https://malware-log.hatenablog.com/entry/2015/07/15/000000_1


■2021年

◆New Nobelium activity (Microsoft, 2021/06/25)
https://msrc-blog.microsoft.com/2021/06/25/new-nobelium-activity/
https://malware-log.hatenablog.com/entry/2021/06/25/000000_13


■2022年

◆MagicWeb: NOBELIUM’s post-compromise trick to authenticate as anyone (Microsoft, 2022/08/24)
[MagicWeb:誰でも認証できるNOBELIUMの暗号化後の仕掛け]
https://www.microsoft.com/security/blog/2022/08/24/magicweb-nobeliums-post-compromise-trick-to-authenticate-as-anyone/
https://malware-log.hatenablog.com/entry/2022/08/24/000000_1

【関連情報】

◆COZYDUKE (F-Secure)
https://www.f-secure.com/documents/996508/1030745/CozyDuke

関連情報

【関連まとめ記事】

全体まとめ
 ◆攻撃組織 / Actor (まとめ)

◆標的型攻撃組織 / APT (まとめ)
https://malware-log.hatenablog.com/entry/APT