Sandworm (まとめ) - TT Malware Log

【要点】

◎ロシアの政府系(ロシア軍参謀本部情報総局(GRU)の傘下)のサイバー攻撃組織、制御系システムへの攻撃を得意とする

war-log.hatenablog.com

【目次】

概要
記事
関連情報
- 【関連まとめ記事】

概要

【別名】

攻撃組織名	命名組織
APT44	Mandiant
BlackEnergy	Kaspersky
Blue Echidna
Cyclops Blink
ELECTRUM
G0034
Grey Tornado
GTsST
Iridium
Iron Viking	Secureworks
OlympicDestroyer
Quedagh
Razing Ursa
Sandworm	一般的
Telebots	ESET
UAC-0082
Unit 74455
Voodoo Bear	CrowdStrike

【辞書】

◆サンドワーム (Wikipedia)
https://ja.wikipedia.org/wiki/%E3%82%B5%E3%83%B3%E3%83%89%E3%83%AF%E3%83%BC%E3%83%A0

◆Sandwormとは【用語集詳細】 (SOMPO CYBER SECURITY)
https://www.sompocybersecurity.com/column/glossary/sandworm

◆BlackEnergy (Malpedia)
https://malpedia.caad.fkie.fraunhofer.de/details/win.blackenergy

【使用マルウェア】

◆NikoWiper (まとめ)
https://malware-log.hatenablog.com/entry/NikoWiper

【最新情報】

◆パロアルトネットワークス Unit 42 が追跡している脅威アクターグループの一覧 (UNIT42(Palo Alto), 2024/08/04 17:47)
https://unit42.paloaltonetworks.jp/threat-actor-groups-tracked-by-palo-alto-networks-unit-42/
⇒ https://malware-log.hatenablog.com/entry/2024/08/04/000000

記事

【ニュース】

■2014年

◆RUSSIAN 'SANDWORM' HACK HAS BEEN SPYING ON FOREIGN GOVERNMENTS FOR YEARS (WIRED, 2014/10/14)
https://www.wired.com/2014/10/russian-sandworm-hack-isight/
⇒ https://malware-log.hatenablog.com/entry/2014/10/14/000000_2

◆【Sandworm】「Windows OLE」にゼロデイ攻撃が1年以上 - 容易に悪用可能で拡大注意 (Security NEXT, 2014/10/15)
http://www.security-next.com/052837/2
⇒ https://malware-log.hatenablog.com/entry/2014/10/15/000000

◆サイバースパイ団「Sandworm」がWindowsの「MS14-060」脆弱性突く攻撃活動 (Internet Watch, 2014/10/15 20:07)
http://internet.watch.impress.co.jp/docs/news/20141015_671517.html
⇒ https://malware-log.hatenablog.com/entry/2014/10/15/000000_2

◆産業制御システムを狙うマルウェア、米ICS-CERTが注意呼び掛け (ITmedia, 2014/10/31 07:34)

マルウェア「BlackEnergy」の亜種が相当数のICS環境に感染しているのが見つかったという

http://www.itmedia.co.jp/enterprise/articles/1410/31/news051.html
⇒ https://malware-log.hatenablog.com/entry/2014/10/31/000000_1

■2016年

◆Sandworm Team and the Ukrainian Power Authority Attacks (FireEye, 2016/01/07)
https://www.fireeye.com/blog/threat-research/2016/01/ukraine-and-sandworm-team.html
⇒ https://malware-log.hatenablog.com/entry/2016/01/07/000000_2

■2018年

◆ロシアのサイバー攻撃集団「Sandworm Team」が日本の物流企業を標的に、FireEyeが観測 (Internet Watch, 2018/07/20 11/40)
https://internet.watch.impress.co.jp/docs/news/1133817.html
⇒ https://malware-log.hatenablog.com/entry/2018/07/20/000000_5

◆東欧3社に新型マルウェア攻撃、ロシアのハッカー集団が関与か (ASCII.jp, 2018/10/18 10:20)
http://ascii.jp/elem/000/001/759/1759038/
⇒ https://malware-log.hatenablog.com/entry/2018/10/18/000000

■2019年

◆GreyEnergy’s overlap with Zebrocy (Securelist(Kaspersky), 2019/01/24 09:00)
https://securelist.com/greyenergys-overlap-with-zebrocy/89506/
⇒ https://malware-log.hatenablog.com/entry/2019/01/24/000000_2

■2020年

◆露APTグループがメールサーバに脆弱性攻撃 - 米政府が注意喚起 (Security NEXT, 2020/05/29)
http://www.security-next.com/115288
⇒ https://malware-log.hatenablog.com/entry/2020/05/29/000000_4

◆Eximの脆弱性がサイバー攻撃に使われている、アップデートを (マイナビニュース, 2020/05/30 14:46)
https://news.mynavi.jp/article/20200530-1045392/
⇒ https://malware-log.hatenablog.com/entry/2020/05/30/000000_2

■2022年

◆US disrupts Russian Cyclops Blink botnet before being used in attacks (BleepingComputer, 2022/04/06 11:46)
[米国、攻撃に使用される前にロシアのCyclops Blinkボットネットを破壊]
https://www.bleepingcomputer.com/news/security/us-disrupts-russian-cyclops-blink-botnet-before-being-used-in-attacks/
⇒ https://malware-log.hatenablog.com/entry/2022/04/06/000000_5

◆Russia-linked Sandworm APT targets energy facilities in Ukraine with wipers (Security Affairs, 2022/04/12)
[ロシアと連携したSandworm APTがウクライナのエネルギー施設をワイパーで狙う]
https://securityaffairs.co/wordpress/130123/apt/russia-sandworm-targets-energy-facilities-ukraine.html
⇒ https://malware-log.hatenablog.com/entry/2022/04/12/000000_7

◆ロシアのウクライナ侵攻に関連したサイバー攻撃最新情報（4月10日～16日） (マイナビニュース, 2022/04/19 21:46)
https://news.mynavi.jp/techplus/article/20220419-2324942/
⇒ https://malware-log.hatenablog.com/entry/2022/04/19/000000_5

◆ロシアがウクライナ電力網をサイバー攻撃で止めようとした？　その狙いと手口 (TechTarget, 2022/05/13 05:00)

ウクライナの電力施設の産業用制御システムを狙ったサイバー攻撃が観測された。セキュリティ機関は、この攻撃がロシア政府の支援を受けた攻撃者によるものとみる。具体的な攻撃の手口とは

https://techtarget.itmedia.co.jp/tt/news/2205/13/news08.html
⇒ https://malware-log.hatenablog.com/entry/2022/05/13/000000_1

◆ロシア政府の「サイバー攻撃」を実行する、ハッカーたちの「ダークな実態」 (現代ビジネス, 2022/05/23)
https://gendai.ismedia.jp/articles/-/95259
⇒ https://malware-log.hatenablog.com/entry/2022/05/23/000000_5

◆Russian hackers start targeting Ukraine with Follina exploits (BleepingComputer, 2022/06/13 10:28)
[ロシアのハッカーがFollinaエクスプロイトでウクライナを標的にし始める]
https://www.bleepingcomputer.com/news/security/russian-hackers-start-targeting-ukraine-with-follina-exploits/
⇒ https://malware-log.hatenablog.com/entry/2022/06/13/000000_1

◆Ukraine targeted by almost 800 cyberattacks since the war started (BleepingComputer, 2022/06/30 10:57)
[ウクライナ、開戦以来約800件のサイバー攻撃で標的にされる]
https://www.bleepingcomputer.com/news/security/ukraine-targeted-by-almost-800-cyberattacks-since-the-war-started/
⇒ https://malware-log.hatenablog.com/entry/2022/06/30/000000_7

■2023年

◇2023年1月

◆Ukraine: Sandworm hackers hit news agency with 5 data wipers (BleepingComputer, 2023/01/27 13:10)
[ウクライナ: Sandwormハッカーが通信社に5つのデータ・ワイパーを送り込む]
https://www.bleepingcomputer.com/news/security/ukraine-sandworm-hackers-hit-news-agency-with-5-data-wipers/
⇒ https://malware-log.hatenablog.com/entry/2023/01/27/000000_10

◇2023年2月

◆Ukraine says Russian hackers backdoored govt websites in 2021 (BleepingComputer, 2023/02/23 15:50)
[ウクライナ、2021年にロシアのハッカーが政府ウェブサイトをバックドアしたと発表]
https://www.bleepingcomputer.com/news/security/ukraine-says-russian-hackers-backdoored-govt-websites-in-2021/
⇒ https://malware-log.hatenablog.com/entry/2023/02/23/000000

◇2023年4月

◆Leaked documents from Russian firm NTC Vulkan show Sandworm cyberwarfare arsenal (SecurityAffairs, 2023/04/02)
[ロシア企業NTC Vulkanから流出した文書には、Sandwormのサイバー戦争兵器が示されている]
https://securityaffairs.com/144340/apt/ntc-vulkan-sandworm-cyberwarfare-arsenal.html
⇒ https://malware-log.hatenablog.com/entry/2023/04/02/000000

◆ロシア企業NTC Vulkanから流出した文書は、Sandwormのサイバー戦兵器に関する内容を含む (Codebook(マキナコード, 2023/04/03 05:28))
https://codebook.machinarecord.com/threatreport/26628/
⇒ https://malware-log.hatenablog.com/entry/2023/04/03/000000_5

◇2023年6月

◆標的型攻撃は組織外の個人を標的--進む「サプライチェーン」形成 (ZDNet, 2023/06/14 07:35)
https://japan.zdnet.com/article/35205162/
⇒ https://malware-log.hatenablog.com/entry/2023/06/14/000000_7

◇2023年10月

◆Russian Sandworm hackers breached 11 Ukrainian telcos since May (BleepingComputer, 2023/10/16 14:06)
[ロシアのハッカー「サンドワーム」、5月以降ウクライナの通信会社11社に侵入]
https://www.bleepingcomputer.com/news/security/russian-sandworm-hackers-breached-11-ukrainian-telcos-since-may/
⇒ https://malware-log.hatenablog.com/entry/2023/10/16/000000_2

◆Google links WinRAR exploitation to Russian, Chinese state hackers (BleepingComputer, 2023/10/18 11:00)
[グーグル、WinRARの悪用をロシアと中国の国家ハッカーに関連付ける]
https://www.bleepingcomputer.com/news/security/google-links-winrar-exploitation-to-russian-chinese-state-hackers/
⇒ https://malware-log.hatenablog.com/entry/2023/10/18/000000_6

◇2023年11月

◆Russian hackers use Ngrok feature and WinRAR exploit to attack embassies (BleepingComputer, 2023/11/19 11:14)
[ロシアのハッカー、Ngrok機能とWinRARエクスプロイトを使用して大使館を攻撃]
https://www.bleepingcomputer.com/news/security/russian-hackers-use-ngrok-feature-and-winrar-exploit-to-attack-embassies/
⇒ https://malware-log.hatenablog.com/entry/2023/11/19/000000_1

◇2023年12月

◆Hacker Group Linked to Russian Military Claims Credit for Cyberattack on Ukrainian Telecom (Wired, 2023/12/13 10:56)
[ロシア軍とつながりのあるハッカー集団が、ウクライナのテレコムに対するサイバー攻撃の手柄を主張]

A hacker group calling itself Solntsepek—previously linked to Russia’s notorious Sandworm hackers—says it carried out a disruptive breach of Kyivstar, a major Ukrainian mobile and internet provider.
[Solntsepekと名乗るハッカー集団（以前はロシアの悪名高いハッカー集団Sandwormとつながっていた）が、ウクライナの大手携帯電話・インターネットプロバイダーであるKyivstarに破壊的な侵入を行ったという。]

https://www.wired.com/story/ukraine-kyivstar-solntsepek-sandworm-gru/
⇒ https://malware-log.hatenablog.com/entry/2023/12/24/000000_2

■2024年

◇2024年4月

◆Russian Sandworm hackers pose as hacktivists in water utility breaches (BleepingComputer, 2024/04/17 13:08)
[ロシアのハッカー "サンドワーム"、水道事業体への侵入でハクティビストを装う]
https://www.bleepingcomputer.com/news/security/russian-sandworm-hackers-pose-as-hacktivists-in-water-utility-breaches/
⇒ https://malware-log.hatenablog.com/entry/2024/04/17/000000_4

◆ロシアのサイバー攻撃グループ、米国の水道事業侵害の犯行声明 (ITmedia, 2024/04/18 10:15)
https://www.itmedia.co.jp/news/articles/2404/18/news111.html
⇒ https://malware-log.hatenablog.com/entry/2024/04/18/000000_1

◆米給水施設にサイバー攻撃　ロシアのハッカー集団か、ＣＮＮ報道 (産経新聞, 2024/04/18 11:59)
https://www.sankei.com/article/20240418-ZYMKEYKUAVLT3HB2RN3DI5HMZ4/
⇒ https://malware-log.hatenablog.com/entry/2024/04/18/000000

◆ロシアのサイバー攻撃集団Sandwormをセキュリティ企業のMandiantが広域の脅威である「APT44」に認定 (Gigazine, 2024/04/18 13:27)
https://gigazine.net/news/20240418-russian-hacker-sandworm-apt44/
⇒ https://malware-log.hatenablog.com/entry/2024/04/18/000000_2

◆新種のバックドアマルウェア「Kapeka」 - 露のサイバー攻撃グループが関与か (マイナビニュース, 2024/04/18 10:22)
https://news.mynavi.jp/techplus/article/20240418-2929555/
⇒ https://malware-log.hatenablog.com/entry/2024/04/18/000000_4

【ブログ】

■2014年

◆Windowsゼロデイ脆弱性「CVE-2014-4114」利用したサイバー攻撃「Sandworm」を解析 (Trendmicro, 2014/10/15)
http://blog.trendmicro.co.jp/archives/10092
⇒ https://malware-log.hatenablog.com/entry/2014/10/15/000000_1

◆Windows のゼロデイ脆弱性を悪用した Sandworm による標的型攻撃 (Symantec, 2014/10/15 06:34 GMT)

限定的な標的型のサイバースパイ攻撃で、標的のコンピュータにバックドアを送り込むために Windows の新しい深刻なゼロデイ脆弱性が悪用されていると報告されています

http://www.symantec.com/connect/ja/blogs/windows-sandworm
⇒ https://malware-log.hatenablog.com/entry/2014/10/15/000000_3

◆サイバー攻撃「Sandworm」が「Blacken」へ誘導。産業制御システムが標的？ (Trendmicro, 2014/10/17)
http://blog.trendmicro.co.jp/archives/10130
⇒ https://malware-log.hatenablog.com/entry/2014/10/17/000000

◆更新プログラム公開から1週間、脆弱性「Sandworm」を利用する新たな攻撃を確認 (Trendmicro, 2014/10/23)
https://blog.trendmicro.co.jp/archives/10159
⇒ https://malware-log.hatenablog.com/entry/2014/10/23/000000_2

◆スパイ集団が狙った「PowerPoint脆弱性」の顛末 (THE ZERO/ONE, 2014/11/06)
https://the01.jp/p000103/
⇒ https://malware-log.hatenablog.com/entry/2014/11/06/000000_1

■2016年

◆iSight Partners says the Sandworm APT is involved Ukrainian power outage (MUST READ, 2016/01/08)
https://securityaffairs.co/wordpress/43413/malware/sandworm-apt-ukrainian-power-outage.html
⇒ https://malware-log.hatenablog.com/entry/2016/01/08/000000_4

■2017年

◆TeleBots are back: Supply-chain attacks against Ukraine (ESET, 2017/06/30 15:30)
https://www.welivesecurity.com/2017/06/30/telebots-back-supply-chain-attacks-against-ukraine/
⇒ https://malware-log.hatenablog.com/entry/2020/05/29/000000_4

■2023年

◆ESET Research: Russian APT groups, including Sandworm, continue their attacks against Ukraine with wipers and ransomware (ESET, 2023/01/31)
[ESETの調査： Sandwormを含むロシアのAPTグループが、ワイパーやランサムウェアでウクライナに対する攻撃を継続中]
https://www.eset.com/int/about/newsroom/press-releases/research/eset-research-russian-apt-groups-including-sandworm-continue-their-attacks-against-ukraine-with-wipe/
⇒ https://malware-log.hatenablog.com/entry/2023/01/31/000000_7

■2024年

◆パロアルトネットワークス Unit 42 が追跡している脅威アクターグループの一覧 (UNIT42(Palo Alto), 2024/08/04 17:47)
https://unit42.paloaltonetworks.jp/threat-actor-groups-tracked-by-palo-alto-networks-unit-42/
⇒ https://malware-log.hatenablog.com/entry/2024/08/04/000000

【公開情報】

■2020年

◆NSA Releases Advisory on Sandworm Actors Exploiting an Exim Vulnerability (NSA, 2020/05/28)
https://www.us-cert.gov/ncas/current-activity/2020/05/28/nsa-releases-advisory-sandworm-actors-exploiting-exim
⇒ https://malware-log.hatenablog.com/entry/2020/05/28/000000_5

◆SANDWORM ACTORS EXPLOITING VULNERABILITY IN EXIM MAIL TRANSFER AGENT (NSA, 2020/05/28)
https://media.defense.gov/2020/May/28/2002306626/-1/-1/0/CSA%20Sandworm%20Actors%20Exploiting%20Vulnerability%20in%20Exim%20Transfer%20Agent%2020200528.pdf
⇒ https://malware-log.hatenablog.com/entry/2020/05/28/000000_4

【資料】

■2017年

◆ISTR 22 (Symantec, 2017/04)
https://www.symantec.com/content/dam/symantec/docs/reports/istr-22-2017-en.pdf
⇒ https://malware-log.hatenablog.com/entry/2017/04/30/000000_1