APT29 / Nobelium (まとめ)

【要点】

◎ロシアのサイバー攻撃組織。SVR / СВРの指示のもと活動

incidents.hatenablog.com

【目次】

概要
記事
関連情報
- 【関連まとめ記事】

概要

【辞書】

◆APT 29 (Malpedia)
https://malpedia.caad.fkie.fraunhofer.de/actor/apt_29

◆APT29 (ATT&CK)
https://attack.mitre.org/groups/G0016/

◆Cozy Bear (Crowdstrike)
https://adversary.crowdstrike.com/ja-JP/adversary/cozy-bear/

◆Cloaked-ursa (UNIT-42)
https://unit42.paloaltonetworks.jp/atoms/cloaked-ursa/

【ATT&CK ID】

ID(ATT&CK)	備考
G0016	APT29

【別名】

攻撃組織名	命名組織
APT 29	FireEye
CozyDuke
SVR
The Dukes
Nobelium	Microsoft (ノべリウム)
Midnight Blizzard	Microsoft
UNC2452	FireEye
Dark Halo
StellarParticle
YTTRIUM
Cozy Bear
IRON HEMLOCK
Cloaked Ursa	UNIT42(Palo Alto)
Blue Kitsune	PwC

【概要】

攻撃組織名	備考
APT28	ロシア連邦軍参謀本部情報総局（GRU）
APT29	ロシア連邦保安局（FSB)

確認ベンダー
1. Crowdstrike
2. Fireeye
3. Fidelis

使用するマルウェア
- OnionDuke

【最新情報】

◆Amazon seizes domains used in rogue Remote Desktop campaign to steal data (BleepingComputer, 2024/10/25 12:41)
[Amazon、不正なリモートデスクトップキャンペーンでデータ盗難に使用されたドメインを押収]
https://www.bleepingcomputer.com/news/security/amazon-seizes-domains-used-in-rogue-remote-desktop-campaign-to-steal-data/
⇒ https://malware-log.hatenablog.com/entry/2024/10/25/000000_1

記事

【ニュース】

■2015年

◆The CozyDuke APT (Kaspersky(Securelist), 2015/04/21)
https://securelist.com/the-cozyduke-apt/69731/
⇒ https://malware-log.hatenablog.com/entry/2015/04/21/000000_2

◆No monkeys for CozyDuke (Kaspersky, 2015/04/28)
https://www.kaspersky.com/blog/no-monkeys-for-cozyduke/8543/
⇒ https://malware-log.hatenablog.com/entry/2015/04/28/000000_1

◆エフセキュア、CozyDukeと社会的地位のある標的を狙う諜報活動との関連を指摘 (PR Times, 2015/05/12 08:30)
http://prtimes.jp/main/html/rd/p/000000243.000001340.html
⇒ https://malware-log.hatenablog.com/entry/2015/05/12/000000_2

◆政府機関狙うサイバー攻撃「CozyDuke」 - 「MiniDuke」と関連か (Security NEXT, 2015/05/14)
http://www.security-next.com/058391
⇒ https://malware-log.hatenablog.com/entry/2015/05/14/000000

■2016年

◆Guccifer 2.0 leaks docs on 11K donors, tries to draw attention back to DNC hacks (SC Magazine, 2016/07/15)
https://www.scmagazine.com/guccifer-20-leaks-docs-on-11k-donors-tries-to-draw-attention-back-to-dnc-hacks/article/527898/
⇒ https://malware-log.hatenablog.com/entry/2016/07/15/000000_2

◆Trump's Russian interests and Guccifer 2.0　(SC Magazine, 2016/07/26)
https://www.scmagazine.com/trumps-russian-interests-and-guccifer-20/article/529908/
⇒ https://malware-log.hatenablog.com/entry/2016/07/26/000000_2

◆扱いやすいトランプ氏を大統領にするため？民主党のメール流出事件、背後にロシア政府の影 (NewSphere, 2016/07/28)
https://newsphere.jp/world-report/20160728-2/
⇒ https://malware-log.hatenablog.com/entry/2016/07/28/000000

◆Russian ‘Dukes’ of Hackers Pounce on Trump Win (Krebs on Security, 2016/11/16)
https://krebsonsecurity.com/tag/apt29/
⇒ https://malware-log.hatenablog.com/entry/2016/11/16/000000_2

◆ロシアによる米国へのサイバー攻撃「グリズリー・ステップ」 (AFP BB NEWS, 2016/12/30 12:39)
http://www.afpbb.com/articles/-/3112801
⇒ https://malware-log.hatenablog.com/entry/2016/12/30/000000_1

■2017年

◆APT29 Domain Fronting With TOR (FireEye, 2017/03/27)
https://www.fireeye.com/blog/threat-research/2017/03/apt29_domain_frontin.html
⇒ https://malware-log.hatenablog.com/entry/2017/03/29/000000_5

■2018年

◆オランダ情報機関、米民主党へのロシアのハッキングを防犯カメラで「目撃」 (AFP BB NEWS, 2018/01/27 13:12)
http://www.afpbb.com/articles/-/3160177?cx_position=1
⇒ https://malware-log.hatenablog.com/entry/2018/01/27/000000_9

◆Dissecting Cozy Bear’s malicious LNK file (CyberForensicator, 2018/12/23)
http://cyberforensicator.com/2018/12/23/dissecting-cozy-bears-malicious-lnk-file/
⇒ https://malware-log.hatenablog.com/entry/2018/12/23/000000_2

■2019年

◆10年以上活動するロシアのハッカー集団、2年ぶりに表舞台に (MIT Technology Review, 2019/11/18)
https://www.technologyreview.jp/s/168417/kremlin-hackers-are-back-in-the-spotlight-after-2016-election-breach/
⇒ https://malware-log.hatenablog.com/entry/2019/11/18/000000_<<

■2020年

◆ハッカー集団「APT29」に対抗しうるMcAfee MVISION EDRの性能とは (ASCII.jp, 2020/05/21 17:00)
https://ascii.jp/elem/000/004/013/4013804/
⇒ https://malware-log.hatenablog.com/entry/2020/05/21/000000_4

◆ロシア、ワクチン研究にサイバー攻撃か　米英カナダが非難 (日経新聞, 2020/07/16 23:42)
https://www.nikkei.com/article/DGXMZO61623530W0A710C2000000/
⇒ https://malware-log.hatenablog.com/entry/2020/07/16/000000_4

◆ロシア、コロナワクチン情報狙いサイバー攻撃か　英米加が非難 (ロイター, 2020/07/17 01:26)
https://jp.reuters.com/article/health-coronavirus-cyber-idJPKCN24H2OT
⇒ https://malware-log.hatenablog.com/entry/2020/07/17/000000

◆露「APT29」、ワクチン情報狙いサイバー攻撃か - 2018年の国内検知マルウェアとも関連 (Security NEXT, 2020/07/17)
http://www.security-next.com/116746/2
⇒ https://malware-log.hatenablog.com/entry/2020/07/17/000000_3

◆APT29と見られる組織が米財務省などのメールを傍受。アップデートを改ざんして侵入か(スラド, 2020/12/14 15:04)
https://security.srad.jp/story/20/12/14/027221/
⇒ https://malware-log.hatenablog.com/entry/2020/12/14/000000_5

■2021年

◇2021年1月

◆ロシア政府の支援を受けるハッキンググループによるアメリカ政府機関へのサイバー攻撃「Solorigate」は当初の予想以上の被害規模の可能性 (Gigazine, 2021/01/03 19:00)
https://gigazine.net/news/20210103-solarwinds-hack-worse-originally/
⇒ https://malware-log.hatenablog.com/entry/2021/01/03/000000

◇2021年4月

◆SolarWinds製品に対する攻撃、ロシアの諜報機関が背後に--米英が公に非難 (ZDNet, 2021/04/16 12:49)
https://japan.zdnet.com/article/35169463/
⇒ https://malware-log.hatenablog.com/entry/2021/04/16/000000_1

◇2021年5月

◆Russian cyber-spies changed tactics after the UK and US outed their techniques – so here's a list of those changes (The Register, 2021/05/07 18:49)
[ロシアのサイバー・スパイは、英国と米国が攻撃テクニックを公開した後に戦術を変更しました - その変更点をリストアップしてみました]
https://www.theregister.com/2021/05/07/ncsc_russia_vulns_smart_cities_china_warning/
⇒ https://malware-log.hatenablog.com/entry/2021/05/07/000000_9

◆ロシア系ハッカー集団、米機関を攻撃　首脳会談前に発覚 (日経新聞, 2021/05/28 21:40)
https://www.nikkei.com/article/DGXZQOCB28C6G0Y1A520C2000000/
⇒ https://malware-log.hatenablog.com/entry/2021/05/28/000000_8

◆Microsoft: Russian hackers used 4 new malware in USAID phishing (BleepingComputer, 2021/05/29 13:49)
[マイクロソフトロシアのハッカーがUSAIDのフィッシングに4つの新しいマルウェアを使用]
https://www.bleepingcomputer.com/news/security/microsoft-russian-hackers-used-4-new-malware-in-usaid-phishing/
⇒ https://malware-log.hatenablog.com/entry/2021/05/29/000000_3

◆24カ国でサイバー攻撃　ロシアのハッカー集団か　米MS発表 (毎日新聞, 2021/05/29 10:55)
https://mainichi.jp/articles/20210529/k00/00m/030/068000c
⇒ https://malware-log.hatenablog.com/entry/2021/05/29/000000

◆マイクロソフト、ロシア「NOBELIUM」のフィッシングキャンペーンを警告 (ZDNet, 2021/05/31 11:17)
https://japan.zdnet.com/article/35171542/
⇒ https://malware-log.hatenablog.com/entry/2021/05/31/000000_3

◆米国際開発庁になりすます、「Nobelium」による進行中のフィッシングキャンペーン (CodeBook, 2021/05/31 11:24)
https://codebook.machinarecord.com/9990/
⇒ https://malware-log.hatenablog.com/entry/2021/05/31/000000_9

◇2021年6月

◆Justice Department seizes domains used in Nobelium-USAID phishing campaign (ZDNet, 2021/06/01)
[司法省、Nobelium-USAIDのフィッシング・キャンペーンに使用されたドメインを押収]
https://www.zdnet.com/article/justice-department-seizes-domains-used-in-nobelium-usaid-phishing-campaign/
⇒ https://malware-log.hatenablog.com/entry/2021/06/01/000000_2

◇2021年7月

◆アメリカ共和党全国委員会がハッカーにより攻撃を受ける、Kaseyaへの大規模ハッキングに引き続きまたもロシアからの攻撃 (Gigazine, 2021/07/07 11:03)
https://gigazine.net/news/20210707-russian-hackers-cozy-bear-rnc/
⇒ https://malware-log.hatenablog.com/entry/2021/07/07/000000

◆Googleが「ロシア政府系ハッカーがiOSのゼロデイ脆弱性を突いてヨーロッパの政府関係者を攻撃していた」と報告 (Gigazine, 2021/07/15 14:00)
https://gigazine.net/news/20210715-russian-svr-hackers-ios-zero-day-linkedin/
⇒ https://malware-log.hatenablog.com/entry/2021/07/15/000000_2

◇2021年9月

◆APT29 targets Active Directory Federation Services with stealthy backdoor (CSO, 2021/09/30 12:12)
[APT29、ステルス性の高いバックドアでActive Directory Federation Servicesを狙う]
https://www.csoonline.com/article/3635095/apt29-targets-active-directory-federation-services-with-stealthy-backdoor.html
⇒ https://malware-log.hatenablog.com/entry/2021/09/30/000000_5

◇2021年10月

◆SolarWinds攻撃関与のロシアNobeliumによる新たな攻撃--マイクロソフトが注意喚起 (ZDNet, 2021/10/26 14:11)
https://japan.zdnet.com/article/35178561/
⇒ https://malware-log.hatenablog.com/entry/2021/10/26/000000_1

◆ロシアのハッカー集団、IT関連140社攻撃　Microsoft調査 (日経新聞, 2021/10/26 04:34)
https://www.nikkei.com/article/DGXZQOGN25CYT0V21C21A0000000/
⇒ https://malware-log.hatenablog.com/entry/2021/10/26/000000

■2022年

◇2022年5月

◆ロシア政府の「サイバー攻撃」を実行する、ハッカーたちの「ダークな実態」 (現代ビジネス, 2022/05/23)
https://gendai.ismedia.jp/articles/-/95259

◇2022年7月

◆Near-undetectable malware linked to Russia's Cozy Bear (The Register, 2022/07/06 05:27)
[ロシアのCozy Bearに関連した検出不可能に近いマルウェア]
https://www.theregister.com/2022/07/06/brc4_state_sponsored_apt29/
⇒ https://malware-log.hatenablog.com/entry/2022/07/06/000000_1

◆「Googleドライブ」や「Dropbox」を悪用するサイバー攻撃が発見される (ZDNet, 2022/07/22 15:37)
https://japan.zdnet.com/article/35190777/
⇒ https://malware-log.hatenablog.com/entry/2022/07/22/000000

◆APT29 Abuses Online Storage Services Google Drive and Dropbox (Cyware, 2022/07/22)
[APT29、オンラインストレージサービス「Google Drive」「Dropbox」を悪用]
https://cyware.com/news/apt29-abuses-online-storage-services-google-drive-and-dropbox-2d799b4b
⇒ https://malware-log.hatenablog.com/entry/2022/07/22/000000_1

◆ロシアのAPT29ハッカーがオンラインストレージサービスのDropBoxとGoogle Driveを悪用 (UNIT42(Paloalto), 2022/07/26)
https://unit42.paloaltonetworks.jp/cloaked-ursa-online-storage-services-campaigns/
⇒ https://malware-log.hatenablog.com/entry/2022/07/26/000000_6

◇2022年8月

◆MS、管理者の認証情報を悪用する「MagicWeb」について警告 (ZDNet, 2022/08/26 11:42)
https://japan.zdnet.com/article/35192373/
⇒ https://malware-log.hatenablog.com/entry/2022/08/26/000000_2

■2023年

◇2023年7月

◆Russian state hackers lure Western diplomats with BMW car ads (BleepingComputer, 2023/07/12 15:01)
[ロシア国家ハッカーがBMW車の広告で西側外交官を誘い込む]
https://www.bleepingcomputer.com/news/security/russian-state-hackers-lure-western-diplomats-with-bmw-car-ads/
⇒ https://malware-log.hatenablog.com/entry/2023/07/12/000000_7

◇2023年8月

◆ロシアのハッキンググループが企業のテクニカルサポートを装いMicrosoft Teams経由でフィッシング攻撃を行っていたことが判明 (Gigazine, 2023/08/03 20:00)
https://gigazine.net/news/20230803-midnight-blizzard-targeted-social-engineering/
⇒ https://malware-log.hatenablog.com/entry/2023/08/03/000000_2

◇2023年11月

◆Russian hackers use Ngrok feature and WinRAR exploit to attack embassies (BleepingComputer, 2023/11/19 11:14)
[ロシアのハッカー、Ngrok機能とWinRARエクスプロイトを使用して大使館を攻撃]
https://www.bleepingcomputer.com/news/security/russian-hackers-use-ngrok-feature-and-winrar-exploit-to-attack-embassies/
⇒ https://malware-log.hatenablog.com/entry/2023/11/19/000000_1

■2024年

◇2024年1月

◆Microsoft、ロシアのハッカーが幹部メールに侵入と発表 (日経新聞, 2024/01/20 10:22)
https://www.nikkei.com/article/DGXZQOGN200AU0Q4A120C2000000/
⇒ https://malware-log.hatenablog.com/entry/2024/01/20/000000_1

◆Microsoftがロシア政府支援のハッキンググループ「Midnight Blizzard」からサイバー攻撃を受けたと発表 (Gigazine, 2024/01/21 17:30)
https://gigazine.net/news/20240121-microsoft-email-hack-russian-intelligence-group/
⇒ https://malware-log.hatenablog.com/entry/2024/01/21/000000

◆Hewlett Packard Enterpriseに不正アクセス、一部のメールが流出 (マイナビニュース, 2024/01/31 10:28)
https://news.mynavi.jp/techplus/article/20240131-2873485/
⇒ https://malware-log.hatenablog.com/entry/2024/01/31/000000

◆Microsoftに攻撃を仕掛けたMidnight Blizzard　攻撃を防ぐためにできることは？ (ITmedia, 2024/01/31 08:00)
https://www.itmedia.co.jp/enterprise/articles/2401/30/news082.html
⇒ https://malware-log.hatenablog.com/entry/2024/01/31/000000_4

◇2024年2月

◆クラウド利用増加で標的型攻撃が進化 - 「初期アクセス」獲得阻止が重要に (Security NEXT, 2024/02/27)
https://www.security-next.com/154157
⇒ https://malware-log.hatenablog.com/entry/2024/02/27/000000_1

◇2024年3月

◆Microsoftのソースコードと内部システムにロシア政府系ハッカー「Midnight Blizzard」がアクセスしていたことが判明 (BleepingComputer, 2024/03/11 11:00)
https://gigazine.net/news/20240311-microsoft-russian-hackers-stolen-source-code/
⇒ https://malware-log.hatenablog.com/entry/2024/03/11/000000

◇2024年6月

◆TeamViewer links corporate cyberattack to Russian state hackers (BleepingComputer, 2024/06/28 10:42)
[TeamViewer、企業サイバー攻撃とロシア国家ハッカーを関連づける]
https://www.bleepingcomputer.com/news/security/teamviewer-links-corporate-cyberattack-to-russian-state-hackers/
⇒ https://malware-log.hatenablog.com/entry/2024/06/28/000000_2

◇2024年8月

◆ロシアの攻撃者APT29はNSOなどのエクスプロイト使用の可能性──Google TAGが指摘 (ITmedia, 2024/08/30)
https://www.itmedia.co.jp/news/articles/2408/30/news096.html
⇒ https://malware-log.hatenablog.com/entry/2024/08/30/000000

◆iPhoneのSafariとGoogle Chromeの脆弱性のサイバー攻撃への悪用確認 (マイナビニュース, 2024/08/31)
https://news.mynavi.jp/techplus/article/20240831-3015475/
⇒ https://malware-log.hatenablog.com/entry/2024/08/31/000000

◇2024年10月

◆Amazon seizes domains used in rogue Remote Desktop campaign to steal data (BleepingComputer, 2024/10/25 12:41)
[Amazon、不正なリモートデスクトップキャンペーンでデータ盗難に使用されたドメインを押収]
https://www.bleepingcomputer.com/news/security/amazon-seizes-domains-used-in-rogue-remote-desktop-campaign-to-steal-data/
⇒ https://malware-log.hatenablog.com/entry/2024/10/25/000000_1

【解説記事】

■2016年

◆Lone hacker reportedly takes credit for DNC intrusions, releases opposition files on Trump (SC Magazine, 2016/06/16)
https://www.scmagazine.com/guccifer-20-claims-responsibility-for-dnc-hack-releases-reported-trump-opposition-files/article/529443/
⇒ https://malware-log.hatenablog.com/entry/2016/06/16/000000_2

◆Clinton Foundation possibly breached by Russian hackers who targeted DNC (SC Magazine, 2016/06/22)
https://www.scmagazine.com/clinton-foundation-possibly-breached-by-russian-hackers-who-targeted-dnc/article/529584/
⇒ https://malware-log.hatenablog.com/entry/2016/06/22/000000_3

◆Trump's Russian interests and Guccifer 2.0　(SC Magazine, 2016/07/26)
https://www.scmagazine.com/trumps-russian-interests-and-guccifer-20/article/529908/
⇒ https://malware-log.hatenablog.com/entry/2016/07/26/000000_2

【ブログ】

■2015年

◆CozyDukeを侮るなかれ (Kaspersky, 2015/05/14)
https://blog.kaspersky.co.jp/no-monkeys-for-cozyduke/7488/
⇒ https://malware-log.hatenablog.com/entry/2015/05/14/000000_3

◆「Forkmeiamfamous」: Duke グループ最新の攻撃、Seaduke が登場 (Symantec, 2015/07/15)
https://www.symantec.com/connect/nl/blogs/forkmeiamfamous-duke-seaduke?page=1
⇒ https://malware-log.hatenablog.com/entry/2015/07/15/000000_1

■2021年

◆New Nobelium activity (Microsoft, 2021/06/25)
https://msrc-blog.microsoft.com/2021/06/25/new-nobelium-activity/
⇒ https://malware-log.hatenablog.com/entry/2021/06/25/000000_13

■2022年

◆MagicWeb: NOBELIUM’s post-compromise trick to authenticate as anyone (Microsoft, 2022/08/24)
[MagicWeb：誰でも認証できるNOBELIUMの暗号化後の仕掛け]
https://www.microsoft.com/security/blog/2022/08/24/magicweb-nobeliums-post-compromise-trick-to-authenticate-as-anyone/
⇒ https://malware-log.hatenablog.com/entry/2022/08/24/000000_1

【資料】

■2016年

◆No Easy Breach DerbyCon 2016 (FireEye, 2016/09/27)
https://www.slideshare.net/MatthewDunwoody1/no-easy-breach-derby-con-2016
⇒ https://malware-log.hatenablog.com/entry/2016/09/27/000000_1

【関連情報】

◆COZYDUKE (F-Secure)
https://www.f-secure.com/documents/996508/1030745/CozyDuke

【IoC情報】

◆APT29
https://ioc.hatenablog.com/entry/2015/05/12/000000

TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 / 攻撃組織に関する「個人」の調査・研究・参照ログ

APT29 / Nobelium (まとめ)

概要

【辞書】

【ATT&CK ID】

【別名】

【概要】

【最新情報】

記事

【ニュース】

【解説記事】

【ブログ】

【資料】

【関連情報】

【IoC情報】

【図表】

関連情報

【関連まとめ記事】