TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究・参照ログ

APT29 / Nobelium (まとめ)

【目次】

概要

【ATT&CK ID】
ID(ATT&CK)
備考
G0016 APT29
【別名】
攻撃組織名
命名組織
APT 29 FireEye
CozyDuke
SVR
The Dukes
Nobelium Microsoft (ノべリウム)
UNC2452 FireEye
Dark Halo
StellarParticle
YTTRIUM
Cozy Bear
【概要】
攻撃組織名
備考
APT28 ロシア連邦軍参謀本部情報総局(GRU)
APT29 ロシア連邦保安局(FSB)
  • 確認ベンダー
    1. Crowdstrike
    2. Fireeye
    3. Fidelis
  • 使用するマルウェア
    • OnionDuke
【最新情報】

◆APT29 targets Active Directory Federation Services with stealthy backdoor (CSO, 2021/09/30 12:12)
[APT29、ステルス性の高いバックドアでActive Directory Federation Servicesを狙う]
https://www.csoonline.com/article/3635095/apt29-targets-active-directory-federation-services-with-stealthy-backdoor.html
https://malware-log.hatenablog.com/entry/2021/09/30/000000_5

◆SolarWinds攻撃関与のロシアNobeliumによる新たな攻撃--マイクロソフトが注意喚起 (ZDNet, 2021/10/26 14:11)
https://japan.zdnet.com/article/35178561/
https://malware-log.hatenablog.com/entry/2021/10/26/000000_1

◆ロシアのハッカー集団、IT関連140社攻撃 Microsoft調査 (日経新聞, 2021/10/26 04:34)
https://www.nikkei.com/article/DGXZQOGN25CYT0V21C21A0000000/
https://malware-log.hatenablog.com/entry/2021/10/26/000000

記事

【ニュース】

■2015年

◆The CozyDuke APT (Kaspersky(Securelist), 2015/04/21)
https://securelist.com/the-cozyduke-apt/69731/
https://malware-log.hatenablog.com/entry/2015/04/21/000000_2

◆No monkeys for CozyDuke (Kaspersky, 2015/04/28)
https://www.kaspersky.com/blog/no-monkeys-for-cozyduke/8543/
https://malware-log.hatenablog.com/entry/2015/04/28/000000_1

◆エフセキュア、CozyDukeと社会的地位のある標的を狙う諜報活動との関連を指摘 (PR Times, 2015/05/12 08:30)
http://prtimes.jp/main/html/rd/p/000000243.000001340.html
https://malware-log.hatenablog.com/entry/2015/05/12/000000_2

◆政府機関狙うサイバー攻撃「CozyDuke」 - 「MiniDuke」と関連か (Security NEXT, 2015/05/14)
http://www.security-next.com/058391
https://malware-log.hatenablog.com/entry/2015/05/14/000000


■2016年

◆Guccifer 2.0 leaks docs on 11K donors, tries to draw attention back to DNC hacks (SC Magazine, 2016/07/15)
https://www.scmagazine.com/guccifer-20-leaks-docs-on-11k-donors-tries-to-draw-attention-back-to-dnc-hacks/article/527898/
https://malware-log.hatenablog.com/entry/2016/07/15/000000_2

◆Trump's Russian interests and Guccifer 2.0 (SC Magazine, 2016/07/26)
https://www.scmagazine.com/trumps-russian-interests-and-guccifer-20/article/529908/
https://malware-log.hatenablog.com/entry/2016/07/26/000000_2

◆扱いやすいトランプ氏を大統領にするため? 民主党のメール流出事件、背後にロシア政府の影 (NewSphere, 2016/07/28)
https://newsphere.jp/world-report/20160728-2/
https://malware-log.hatenablog.com/entry/2016/07/28/000000

◆Russian ‘Dukes’ of Hackers Pounce on Trump Win (Krebs on Security, 2016/11/16)
https://krebsonsecurity.com/tag/apt29/
https://malware-log.hatenablog.com/entry/2016/11/16/000000_2

◆ロシアによる米国へのサイバー攻撃「グリズリー・ステップ」 (AFP BB NEWS, 2016/12/30 12:39)
http://www.afpbb.com/articles/-/3112801
https://malware-log.hatenablog.com/entry/2016/12/30/000000_1


■2017年

◆APT29 Domain Fronting With TOR (FireEye, 2017/03/27)
https://www.fireeye.com/blog/threat-research/2017/03/apt29_domain_frontin.html
https://malware-log.hatenablog.com/entry/2017/03/29/000000_5


■2018年

◆オランダ情報機関、米民主党へのロシアのハッキングを防犯カメラで「目撃」 (AFP BB NEWS, 2018/01/27 13:12)
http://www.afpbb.com/articles/-/3160177?cx_position=1
https://malware-log.hatenablog.com/entry/2018/01/27/000000_9

◆Dissecting Cozy Bear’s malicious LNK file (CyberForensicator, 2018/12/23)
http://cyberforensicator.com/2018/12/23/dissecting-cozy-bears-malicious-lnk-file/
https://malware-log.hatenablog.com/entry/2018/12/23/000000_2


■2019年

◆10年以上活動するロシアのハッカー集団、2年ぶりに表舞台に (MIT Technology Review, 2019/11/18)
https://www.technologyreview.jp/s/168417/kremlin-hackers-are-back-in-the-spotlight-after-2016-election-breach/
https://malware-log.hatenablog.com/entry/2019/11/18/000000_<<


■2020年

◆ハッカー集団「APT29」に対抗しうるMcAfee MVISION EDRの性能とは (ASCII.jp, 2020/05/21 17:00)
https://ascii.jp/elem/000/004/013/4013804/
https://malware-log.hatenablog.com/entry/2020/05/21/000000_4

◆ロシア、ワクチン研究にサイバー攻撃か 米英カナダが非難 (日経新聞, 2020/07/16 23:42)
https://www.nikkei.com/article/DGXMZO61623530W0A710C2000000/
https://malware-log.hatenablog.com/entry/2020/07/16/000000_4

◆ロシア、コロナワクチン情報狙いサイバー攻撃か 英米加が非難 (ロイター, 2020/07/17 01:26)
https://jp.reuters.com/article/health-coronavirus-cyber-idJPKCN24H2OT
https://malware-log.hatenablog.com/entry/2020/07/17/000000

◆露「APT29」、ワクチン情報狙いサイバー攻撃か - 2018年の国内検知マルウェアとも関連 (Security NEXT, 2020/07/17)
http://www.security-next.com/116746/2
https://malware-log.hatenablog.com/entry/2020/07/17/000000_3

◆APT29と見られる組織が米財務省などのメールを傍受。アップデートを改ざんして侵入か(スラド, 2020/12/14 15:04)
https://security.srad.jp/story/20/12/14/027221/
https://malware-log.hatenablog.com/entry/2020/12/14/000000_5


■2021年

◇2021年1月

◆ロシア政府の支援を受けるハッキンググループによるアメリカ政府機関へのサイバー攻撃「Solorigate」は当初の予想以上の被害規模の可能性 (Gigazine, 2021/01/03 19:00)
https://gigazine.net/news/20210103-solarwinds-hack-worse-originally/
https://malware-log.hatenablog.com/entry/2021/01/03/000000


◇2021年4月

◆SolarWinds製品に対する攻撃、ロシアの諜報機関が背後に--米英が公に非難 (ZDNet, 2021/04/16 12:49)
https://japan.zdnet.com/article/35169463/
https://malware-log.hatenablog.com/entry/2021/04/16/000000_1


◇2021年5月

◆Russian cyber-spies changed tactics after the UK and US outed their techniques – so here's a list of those changes (The Register, 2021/05/07 18:49)
[ロシアのサイバー・スパイは、英国と米国が攻撃テクニックを公開した後に戦術を変更しました - その変更点をリストアップしてみました]
https://www.theregister.com/2021/05/07/ncsc_russia_vulns_smart_cities_china_warning/
https://malware-log.hatenablog.com/entry/2021/05/07/000000_9

◆ロシア系ハッカー集団、米機関を攻撃 首脳会談前に発覚 (日経新聞, 2021/05/28 21:40)
https://www.nikkei.com/article/DGXZQOCB28C6G0Y1A520C2000000/
https://malware-log.hatenablog.com/entry/2021/05/28/000000_8

◆Microsoft: Russian hackers used 4 new malware in USAID phishing (BleepingComputer, 2021/05/29 13:49)
[マイクロソフト ロシアのハッカーがUSAIDのフィッシングに4つの新しいマルウェアを使用]
https://www.bleepingcomputer.com/news/security/microsoft-russian-hackers-used-4-new-malware-in-usaid-phishing/
https://malware-log.hatenablog.com/entry/2021/05/29/000000_3

◆24カ国でサイバー攻撃 ロシアのハッカー集団か 米MS発表 (毎日新聞, 2021/05/29 10:55)
https://mainichi.jp/articles/20210529/k00/00m/030/068000c
https://malware-log.hatenablog.com/entry/2021/05/29/000000

◆マイクロソフト、ロシア「NOBELIUM」のフィッシングキャンペーンを警告 (ZDNet, 2021/05/31 11:17)
https://japan.zdnet.com/article/35171542/
https://malware-log.hatenablog.com/entry/2021/05/31/000000_3

◆米国際開発庁になりすます、「Nobelium」による進行中のフィッシングキャンペーン (CodeBook, 2021/05/31 11:24)
https://codebook.machinarecord.com/9990/
https://malware-log.hatenablog.com/entry/2021/05/31/000000_9


◇2021年6月

◆Justice Department seizes domains used in Nobelium-USAID phishing campaign (ZDNet, 2021/06/01)
[司法省、Nobelium-USAIDのフィッシング・キャンペーンに使用されたドメインを押収]
https://www.zdnet.com/article/justice-department-seizes-domains-used-in-nobelium-usaid-phishing-campaign/
https://malware-log.hatenablog.com/entry/2021/06/01/000000_2


◇2021年7月

◆アメリカ共和党全国委員会がハッカーにより攻撃を受ける、Kaseyaへの大規模ハッキングに引き続きまたもロシアからの攻撃 (Gigazine, 2021/07/07 11:03)
https://gigazine.net/news/20210707-russian-hackers-cozy-bear-rnc/
https://malware-log.hatenablog.com/entry/2021/07/07/000000

◆Googleが「ロシア政府系ハッカーがiOSのゼロデイ脆弱性を突いてヨーロッパの政府関係者を攻撃していた」と報告 (Gigazine, 2021/07/15 14:00)
https://gigazine.net/news/20210715-russian-svr-hackers-ios-zero-day-linkedin/
https://malware-log.hatenablog.com/entry/2021/07/15/000000_2


◇2021年9月

◆APT29 targets Active Directory Federation Services with stealthy backdoor (CSO, 2021/09/30 12:12)
[APT29、ステルス性の高いバックドアでActive Directory Federation Servicesを狙う]
https://www.csoonline.com/article/3635095/apt29-targets-active-directory-federation-services-with-stealthy-backdoor.html
https://malware-log.hatenablog.com/entry/2021/09/30/000000_5


◇2021年10月

◆SolarWinds攻撃関与のロシアNobeliumによる新たな攻撃--マイクロソフトが注意喚起 (ZDNet, 2021/10/26 14:11)
https://japan.zdnet.com/article/35178561/
https://malware-log.hatenablog.com/entry/2021/10/26/000000_1

◆ロシアのハッカー集団、IT関連140社攻撃 Microsoft調査 (日経新聞, 2021/10/26 04:34)
https://www.nikkei.com/article/DGXZQOGN25CYT0V21C21A0000000/
https://malware-log.hatenablog.com/entry/2021/10/26/000000

【解説記事】

■2016年

◆Lone hacker reportedly takes credit for DNC intrusions, releases opposition files on Trump (SC Magazine, 2016/06/16)
https://www.scmagazine.com/guccifer-20-claims-responsibility-for-dnc-hack-releases-reported-trump-opposition-files/article/529443/
https://malware-log.hatenablog.com/entry/2016/06/16/000000_2

◆Clinton Foundation possibly breached by Russian hackers who targeted DNC (SC Magazine, 2016/06/22)
https://www.scmagazine.com/clinton-foundation-possibly-breached-by-russian-hackers-who-targeted-dnc/article/529584/
https://malware-log.hatenablog.com/entry/2016/06/22/000000_3

◆Trump's Russian interests and Guccifer 2.0 (SC Magazine, 2016/07/26)
https://www.scmagazine.com/trumps-russian-interests-and-guccifer-20/article/529908/
https://malware-log.hatenablog.com/entry/2016/07/26/000000_2

【ブログ】

■2015年

◆CozyDukeを侮るなかれ (Kaspersky, 2015/05/14)
https://blog.kaspersky.co.jp/no-monkeys-for-cozyduke/7488/
https://malware-log.hatenablog.com/entry/2015/05/14/000000_3

◆「Forkmeiamfamous」: Duke グループ最新の攻撃、Seaduke が登場 (Symantec, 2015/07/15)
https://www.symantec.com/connect/nl/blogs/forkmeiamfamous-duke-seaduke?page=1
https://malware-log.hatenablog.com/entry/2015/07/15/000000_1


■2021年

◆New Nobelium activity (Microsoft, 2021/06/25)
https://msrc-blog.microsoft.com/2021/06/25/new-nobelium-activity/
https://malware-log.hatenablog.com/entry/2021/06/25/000000_13

【関連情報】

◆COZYDUKE (F-Secure)
https://www.f-secure.com/documents/996508/1030745/CozyDuke

関連情報

【関連まとめ記事】

全体まとめ
 ◆攻撃組織 / Actor (まとめ)

◆標的型攻撃組織 / APT (まとめ)
https://malware-log.hatenablog.com/entry/APT


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2020