TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 / 攻撃組織 に関する「個人」の調査・研究・参照ログ

Turla (まとめ)

攻撃組織: Turla / Snake / Uroburos / Venomous Bear / Krypton 国: ロシア **攻撃組織(まとめ) **まとめ

【要点】

◎ロシアのサイバー攻撃組織。少なくとも2004年から活動しており、FSBの指示で活動している。


【目次】

概要

【図表】


出典: https://gigazine.net/news/20150910-satellite-turla/

【辞書】

◆Turla (malware) (Wikipedia)
https://en.wikipedia.org/wiki/Turla_(malware)

◆Turla (ATT&CK)
https://attack.mitre.org/groups/G0010/

【別名】
攻撃組織名
命名組織
Turla Kaspersky
Krypton
Snake ※ Ransamware の Snake とは別物
Uroburos
Venomous Bear
Waterbug
WhiteBear
【概要】
項目 備考
活動時期 2004年~(2008年説もある)
攻撃対象 政府, 軍隊
親組織 FSB
【最新情報】

◆Microsoft: Hackers turn Exchange servers into malware control centers (BleepingComputer, 2023/0719 15:06)
[マイクロソフト ハッカーがExchangeサーバーをマルウェアのコントロールセンターに変える]
https://www.bleepingcomputer.com/news/security/microsoft-hackers-turn-exchange-servers-into-malware-control-centers/
https://malware-log.hatenablog.com/entry/2023/07/19/000000_1

記事

【ニュース】

■2014年

◆Uroburos - highly complex espionage software with Russian roots (G Data, 2014/02/28)
https://www.gdatasoftware.com/blog/2014/02/23968-uroburos-highly-complex-espionage-software-with-russian-roots
https://malware-log.hatenablog.com/entry/2014/02/28/000000_3

◆Suspected Russian spyware Turla targets Europe, United States (ロイター, 2014/03/08)
http://jp.reuters.com/article/topNews/idUSBREA260YI20140307
https://malware-log.hatenablog.com/entry/2014/03/08/000000_1

◆大規模なサイバースパイ活動「Epic Turla」が、中東とヨーロッパ 45 か国を標的に (Kaspersky, 2014/08/15)
http://www.kaspersky.co.jp/about/news/virus/2014/vir15082014
https://malware-log.hatenablog.com/entry/2014/08/15/000000_2

◆政府機関を標的にしたサイバースパイ「Turla」の脅威 (THE ZERO/ONE, 2014/08/19)
https://the01.jp/p00084/
https://malware-log.hatenablog.com/entry/2014/08/19/000000


■2015年

◆政府機関を狙う謎の巨大スパイ組織によるマルウェア「Turla」は衛星回線をも利用していることが明らかに (Gigazine, 2015/09/10 23:00)
https://gigazine.net/news/20150910-satellite-turla/
https://malware-log.hatenablog.com/entry/2015/09/10/000000_1

◆Kaspersky Lab、サイバースパイグループ「Turla」の衛星を悪用した活動を解明 (Kaspersky, 2015/09/11)
http://www.kaspersky.co.jp/about/news/virus/2015/vir11092015
https://malware-log.hatenablog.com/entry/2015/09/11/000000

◆大規模サイバースパイ組織、衛星ネットワークを悪用して隠蔽工作 (Harbor Business Online, 2015/09/12)
https://hbol.jp/59888
https://malware-log.hatenablog.com/entry/2015/09/12/000000_1


■2017年

◆20年前のサイバースパイ攻撃「Moonlight Maze」が、近年のAPT攻撃に関連 (Kaspersky, 2017/04/05)
http://www.kaspersky.co.jp/about/news/virus/2017/vir05042017
https://malware-log.hatenablog.com/entry/2017/04/05/000000_4

◆大使館を狙うバックドア「Gazer」を発見 - ESET (マイナビニュース, 2017/09/01)
http://news.mynavi.jp/news/2017/09/01/070/
https://malware-log.hatenablog.com/entry/2017/09/01/000000_7


■2018年

◆政府機関などを狙うハッキング集団「Turla」がマルウェアを巧妙化--英当局が警告 (ZDNet, 2018/01/23 11:20)
https://japan.zdnet.com/article/35113539/
https://malware-log.hatenablog.com/entry/2018/02/23/000000_4

◆ドイツ政府にサイバー攻撃、現時点も継続中 ロシアか (AFP BB News, 2018/03/02 08:48)
http://www.afpbb.com/articles/-/3165788
https://malware-log.hatenablog.com/entry/2018/03/02/000000_1

◆国家支援のハッカーによる12の悪質なサイバー攻撃 (ZDNet, 2018/09/17 08:30)
https://japan.zdnet.com/article/35125466/
https://malware-log.hatenablog.com/entry/2018/09/17/000000_2

◆独当局、ロシアのハッカー集団によるサイバー攻撃検知=雑誌 (ロイター, 2018/11/30 14:13)
https://jp.reuters.com/article/germany-cyber-russia-idJPKCN1NZ0EE
https://malware-log.hatenablog.com/entry/2018/11/30/000000_2


■2019年

◆悪名高いサイバー犯罪組織「Turla」、新たなドロッパー「Topinambour」の配信に正規ソフトウェアを悪用 (Biglobe, 2019/07/26 15:40)
https://news.biglobe.ne.jp/economy/0726/prt_190726_2011508401.html
https://malware-log.hatenablog.com/entry/2019/07/26/000000_1

◆ロシア政府系ハッカー集団がイランのハッカーになりすましてサイバー攻撃 米英情報機関が発表 (産経新聞, 2019/10/22 14:14)
https://www.sankei.com/world/news/191022/wor1910220005-n1.html
https://malware-log.hatenablog.com/entry/2019/10/22/000000_3


■2020年

◆露ハッカー集団、マルウェアでウイルス対策のログも収集 (ZDNet, 2020/05/27 12:40)
https://japan.zdnet.com/article/35154402/
https://malware-log.hatenablog.com/entry/2020/05/27/000000_1

◆AcidBox: ロシアの組織を標的にTurlaグループのエクスプロイトを流用するまれなマルウェア (Paloalto, 2020/06/22 21:55)
https://unit42.paloaltonetworks.jp/acidbox-rare-malware/
https://malware-log.hatenablog.com/entry/2020/06/22/000000_3

◆サイバー攻撃集団「Turla」は盗んだデータを保存するのにDropboxを利用していた (Gigazine, 2020/12/03 12:00)
https://gigazine.net/news/20201203-russian-hacking-group-use-dropbox/
https://malware-log.hatenablog.com/entry/2020/12/03/000000_4

◆Dropbox使うバックドア「Crutch」発見、EU加盟国の外務省で5年間も潜伏 (ITmedia, 2020/12/03 15:42)
https://www.itmedia.co.jp/enterprise/articles/2012/03/news119.html
https://malware-log.hatenablog.com/entry/2020/12/03/000000_7


■2021年

◆IronNetInjector: Turla’s New Malware Loading Tool (Paloalto, 2021/02/19)
https://unit42.paloaltonetworks.com/ironnetinjector/
https://malware-log.hatenablog.com/entry/2021/02/19/000000_7

◆Russian state hackers use new TinyTurla malware as secondary backdoor (BleepingComputer, 2021/09/21 11:54)
[ロシアの国家ハッカーが新しいTinyTurlaマルウェアを二次的なバックドアとして使用]
https://www.bleepingcomputer.com/news/security/russian-state-hackers-use-new-tinyturla-malware-as-secondary-backdoor/
https://malware-log.hatenablog.com/entry/2021/09/21/000000_1


■2022年

◆ロシア政府の「サイバー攻撃」を実行する、ハッカーたちの「ダークな実態」 (現代ビジネス, 2022/05/23)
https://gendai.ismedia.jp/articles/-/95259
https://malware-log.hatenablog.com/entry/2022/05/23/000000_5

◆Ukraine targeted by almost 800 cyberattacks since the war started (BleepingComputer, 2022/06/30 10:57)
[ウクライナ、開戦以来約800件のサイバー攻撃で標的にされる]
https://www.bleepingcomputer.com/news/security/ukraine-targeted-by-almost-800-cyberattacks-since-the-war-started/
https://malware-log.hatenablog.com/entry/2022/06/30/000000_7

◆「ロシアを攻撃する」とうたったマルウェアアプリをロシアが作成し使用者の情報を収集していることが判明 (Gigazine, 2022/07/20 21:00)
https://gigazine.net/news/20220720-russia-hacking-app-ukraine/
https://malware-log.hatenablog.com/entry/2022/07/20/000000


■2023年

◆Snake malware biting hard on 50 apps for only $25 (BleepingComputer, 2021/10/29 12:20)
https://www.bleepingcomputer.com/news/security/snake-malware-biting-hard-on-50-apps-for-only-25/
https://malware-log.hatenablog.com/entry/2021/10/29/000000_4

◆米政府、マルウェア「Snake」の分析結果を公開 - 露関与と指摘 (Security NEXT, 2023/05/10)
https://www.security-next.com/146010
https://malware-log.hatenablog.com/entry/2023/05/10/000000

◆ロシアの情報窃取用のコンピューター網を遮断、米FBI (CNN, 2023/05/11 17:30)
https://www.cnn.co.jp/tech/35203658.html
https://malware-log.hatenablog.com/entry/2023/05/11/000000

◆Microsoft: Hackers turn Exchange servers into malware control centers (BleepingComputer, 2023/07/19 15:06)
[マイクロソフト ハッカーがExchangeサーバーをマルウェアのコントロールセンターに変える]
https://www.bleepingcomputer.com/news/security/microsoft-hackers-turn-exchange-servers-into-malware-control-centers/
https://malware-log.hatenablog.com/entry/2023/07/19/000000_1

【ブログ】

■2014年

◆The Epic Turla Operation (SecureList(Kaspersky), 2014/08/07)
https://securelist.com/the-epic-turla-operation/65545/
https://malware-log.hatenablog.com/entry/2014/08/07/000000_3

■2017年

◆New ESET research uncovers Gazer, the stealthy backdoor that spies on embassies (ESET, 2017/08/30 14:53)
https://www.welivesecurity.com/2017/08/30/eset-research-cyberespionage-gazer/
https://malware-log.hatenablog.com/entry/2017/08/30/000000_6

◆Turla の自動起動手口 (@port139 Blog, 2017/09/02)
http://malware-log.hatenablog.com/entry/2018/03/02/000000_1
https://malware-log.hatenablog.com/entry/2017/09/02/000000


■2018年

◆Meet CrowdStrike’s Adversary of the Month for March: VENOMOUS BEAR (Crowdstrike, 2018/03/12)
https://www.crowdstrike.com/blog/meet-crowdstrikes-adversary-of-the-month-for-march-venomous-bear/
https://malware-log.hatenablog.com/entry/2018/03/12/000000_14

◆Post 0x17.1: Analyzing Turla’s Keyloggern (0ffset, 2018/09/14)
https://0ffset.wordpress.com/2018/09/14/post-0x17-1-turla-keylogger/
https://malware-log.hatenablog.com/entry/2018/09/14/000000_3

■2020年

◆AcidBox: Rare Malware Repurposing Turla Group Exploit Targeted Russian Organizations (Paloalto, 2020/06/17)
https://unit42.paloaltonetworks.com/acidbox-rare-malware/
https://malware-log.hatenablog.com/entry/2020/06/17/000000_4

【公開情報】

■2017年

◆New Pacifier APT Components Point to Russian-Linked Turla Group (Bitdefender, 2017/09/01)
https://media.scmagazine.com/documents/314/bitdefender-whitepaper-pacifie_78483.pdf
https://malware-log.hatenablog.com/entry/2017/09/01/000000_8


■2018年

◆Advisory: Turla group malware (NCSC, 2018/01/18)
https://www.ncsc.gov.uk/alerts/turla-group-malware
https://malware-log.hatenablog.com/entry/2018/01/18/000000_7

【資料】

■2014年

◆The Epic Turla Operation: Solving some of the mysteries of Snake/Uroboros (Kaspersky, 2014/08/07)
https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2018/03/08080105/KL_Epic_Turla_Technical_Appendix_20140806.pdf
https://malware-log.hatenablog.com/entry/2014/08/07/000000_7


■2017年

◆Gazing at Gazer (WeliveSecurity(ESET), 2017/08/31)

Turla’s new second stage backdoor

https://www.welivesecurity.com/wp-content/uploads/2017/08/eset-gazer.pdf
https://malware-log.hatenablog.com/entry/2017/08/31/000000_3

◆Turla group using Neuron and Nautilus tools alongside Snake malware (NCSC, 2017/11/23)
https://www.ncsc.gov.uk/content/files/protected_files/article_files/Turla%20group%20using%20Neuron%20and%20Nautilus%20tools%20alongside%20Snake%20malware_1.pdf
https://malware-log.hatenablog.com/entry/2017/11/23/000000_1


■2018年

◆Turla Neuron Malware Update.pdf (NCSC, 2018/01/18)
https://www.ncsc.gov.uk/content/files/protected_files/article_files/Turla%20Neuron%20Malware%20Update.pdf
https://malware-log.hatenablog.com/entry/2018/01/18/000000_12

◆Diplomats in Eastern Europe bitten by a Turla mosquito (Welivesecurity(ESET), 2018/01)
https://www.welivesecurity.com/wp-content/uploads/2018/01/ESET_Turla_Mosquito.pdf
https://malware-log.hatenablog.com/entry/2018/01/31/000000_12


■2019年

◆ChromeとFirefoxを改変する「目的不明」の攻撃手法が新たに発見される (Gigazine, 2019/10/07 11:50)
https://gigazine.net/news/20191007-russian-hacker-chrome-firefox-tls-traffic/
https://malware-log.hatenablog.com/entry/2019/10/07/000000

■2020年

◆TURLA OUTLOOK BACKDOOR (ESET, 2018/08)

Analysis of an unusual Turla backdoor

https://www.welivesecurity.com/wp-content/uploads/2018/08/Eset-Turla-Outlook-Backdoor.pdf
https://malware-log.hatenablog.com/entry/2018/08/31/000000_2

【IoC情報】

◆AcidBox (2020/06/17)
https://ioc.hatenablog.com/entry/2020/06/17/000000

【検索】

■Google

google: Turla
google: Snake Malware
google: Uroburos
google: Venomous Bear

google:news: Turla
google:news: Snake Malware
google:news: Uroburos
google:news: Venomous Bear

google: site:virustotal.com Turla
google: site:virustotal.com Snake Malware
google: site:virustotal.com Uroburos
google: site:virustotal.com Venomous Bear

google: site:github.com Turla
google: site:github.com Snake Malware
google: site:github.com Uroburos
google: site:github.com Venomous Bear


■Bing

https://www.bing.com/search?q=Turla
https://www.bing.com/search?q=Snake%20Malware
https://www.bing.com/search?q=Uroburos
https://www.bing.com/search?q=Venomous%20Bear

https://www.bing.com/news/search?q=Turla
https://www.bing.com/news/search?q=Snake%20Malware
https://www.bing.com/news/search?q=Uroburos
https://www.bing.com/news/search?q=Venomous%20Bear


■Twitter

https://twitter.com/search?q=%23Turla
https://twitter.com/search?q=%23Snake%20Malware
https://twitter.com/search?q=%23Uroburos
https://twitter.com/search?q=%23Venomous%20Bear

https://twitter.com/hashtag/Turla
https://twitter.com/hashtag/Snake%20Malware
https://twitter.com/hashtag/Uroburos
https://twitter.com/hashtag/Venomous%20Bear

【関連情報】

◆ComRAT (まとめ)
https://malware-log.hatenablog.com/entry/ComRAT

関連情報

【関連まとめ記事】

全体まとめ
 ◆攻撃組織 / Actor (まとめ)

◆標的型攻撃組織 / APT (まとめ)
https://malware-log.hatenablog.com/entry/APT

Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2023