【要点】
◎ロシアのサイバー攻撃組織。少なくとも2004年から活動しており、FSBの指示で活動している。
【目次】
概要
【辞書】
◆Turla (malware) (Wikipedia)
https://en.wikipedia.org/wiki/Turla_(malware)
◆Turla (ATT&CK)
https://attack.mitre.org/groups/G0010/
【別名】
| 攻撃組織名 |
命名組織 |
|---|---|
| Turla | Kaspersky |
| Snake | ※ Ransamware の Snake とは別物 |
| Uroburos | |
| Waterbug | |
| WhiteBear | |
| Venomous Bear | |
| Krypton |
【概要】
| 項目 | 備考 |
|---|---|
| 活動時期 | 2004年~(2008年説もある) |
| 攻撃対象 | 政府, 軍隊 |
| 親組織 | FSB |
【最新情報】
◆Microsoft: Hackers turn Exchange servers into malware control centers (BleepingComputer, 2023/0719 15:06)
[マイクロソフト ハッカーがExchangeサーバーをマルウェアのコントロールセンターに変える]
https://www.bleepingcomputer.com/news/security/microsoft-hackers-turn-exchange-servers-into-malware-control-centers/
⇒ https://malware-log.hatenablog.com/entry/2023/07/19/000000_1
記事
【ニュース】
■2014年
◆Uroburos - highly complex espionage software with Russian roots (G Data, 2014/02/28)
https://www.gdatasoftware.com/blog/2014/02/23968-uroburos-highly-complex-espionage-software-with-russian-roots
⇒ https://malware-log.hatenablog.com/entry/2014/02/28/000000_3
◆Suspected Russian spyware Turla targets Europe, United States (ロイター, 2014/03/08)
http://jp.reuters.com/article/topNews/idUSBREA260YI20140307
⇒ https://malware-log.hatenablog.com/entry/2014/03/08/000000_1
◆大規模なサイバースパイ活動「Epic Turla」が、中東とヨーロッパ 45 か国を標的に (Kaspersky, 2014/08/15)
http://www.kaspersky.co.jp/about/news/virus/2014/vir15082014
⇒ https://malware-log.hatenablog.com/entry/2014/08/15/000000_2
◆政府機関を標的にしたサイバースパイ「Turla」の脅威 (THE ZERO/ONE, 2014/08/19)
https://the01.jp/p00084/
⇒ https://malware-log.hatenablog.com/entry/2014/08/19/000000
■2015年
◆政府機関を狙う謎の巨大スパイ組織によるマルウェア「Turla」は衛星回線をも利用していることが明らかに (Gigazine, 2015/09/10 23:00)
https://gigazine.net/news/20150910-satellite-turla/
⇒ https://malware-log.hatenablog.com/entry/2015/09/10/000000_1
◆Kaspersky Lab、サイバースパイグループ「Turla」の衛星を悪用した活動を解明 (Kaspersky, 2015/09/11)
http://www.kaspersky.co.jp/about/news/virus/2015/vir11092015
⇒ https://malware-log.hatenablog.com/entry/2015/09/11/000000
◆大規模サイバースパイ組織、衛星ネットワークを悪用して隠蔽工作 (Harbor Business Online, 2015/09/12)
https://hbol.jp/59888
⇒ https://malware-log.hatenablog.com/entry/2015/09/12/000000_1
■2017年
◆20年前のサイバースパイ攻撃「Moonlight Maze」が、近年のAPT攻撃に関連 (Kaspersky, 2017/04/05)
http://www.kaspersky.co.jp/about/news/virus/2017/vir05042017
⇒ https://malware-log.hatenablog.com/entry/2017/04/05/000000_4
◆大使館を狙うバックドア「Gazer」を発見 - ESET (マイナビニュース, 2017/09/01)
http://news.mynavi.jp/news/2017/09/01/070/
⇒ https://malware-log.hatenablog.com/entry/2017/09/01/000000_7
■2018年
◆政府機関などを狙うハッキング集団「Turla」がマルウェアを巧妙化--英当局が警告 (ZDNet, 2018/01/23 11:20)
https://japan.zdnet.com/article/35113539/
⇒ https://malware-log.hatenablog.com/entry/2018/02/23/000000_4
◆ドイツ政府にサイバー攻撃、現時点も継続中 ロシアか (AFP BB News, 2018/03/02 08:48)
http://www.afpbb.com/articles/-/3165788
⇒ https://malware-log.hatenablog.com/entry/2018/03/02/000000_1
◆国家支援のハッカーによる12の悪質なサイバー攻撃 (ZDNet, 2018/09/17 08:30)
https://japan.zdnet.com/article/35125466/
⇒ https://malware-log.hatenablog.com/entry/2018/09/17/000000_2
◆独当局、ロシアのハッカー集団によるサイバー攻撃検知=雑誌 (ロイター, 2018/11/30 14:13)
https://jp.reuters.com/article/germany-cyber-russia-idJPKCN1NZ0EE
⇒ https://malware-log.hatenablog.com/entry/2018/11/30/000000_2
■2019年
◆悪名高いサイバー犯罪組織「Turla」、新たなドロッパー「Topinambour」の配信に正規ソフトウェアを悪用 (Biglobe, 2019/07/26 15:40)
https://news.biglobe.ne.jp/economy/0726/prt_190726_2011508401.html
⇒ https://malware-log.hatenablog.com/entry/2019/07/26/000000_1
◆ロシア政府系ハッカー集団がイランのハッカーになりすましてサイバー攻撃 米英情報機関が発表 (産経新聞, 2019/10/22 14:14)
https://www.sankei.com/world/news/191022/wor1910220005-n1.html
⇒ https://malware-log.hatenablog.com/entry/2019/10/22/000000_3
■2020年
◆露ハッカー集団、マルウェアでウイルス対策のログも収集 (ZDNet, 2020/05/27 12:40)
https://japan.zdnet.com/article/35154402/
⇒ https://malware-log.hatenablog.com/entry/2020/05/27/000000_1
◆AcidBox: ロシアの組織を標的にTurlaグループのエクスプロイトを流用するまれなマルウェア (Paloalto, 2020/06/22 21:55)
https://unit42.paloaltonetworks.jp/acidbox-rare-malware/
⇒ https://malware-log.hatenablog.com/entry/2020/06/22/000000_3
◆サイバー攻撃集団「Turla」は盗んだデータを保存するのにDropboxを利用していた (Gigazine, 2020/12/03 12:00)
https://gigazine.net/news/20201203-russian-hacking-group-use-dropbox/
⇒ https://malware-log.hatenablog.com/entry/2020/12/03/000000_4
◆Dropbox使うバックドア「Crutch」発見、EU加盟国の外務省で5年間も潜伏 (ITmedia, 2020/12/03 15:42)
https://www.itmedia.co.jp/enterprise/articles/2012/03/news119.html
⇒ https://malware-log.hatenablog.com/entry/2020/12/03/000000_7
■2021年
◆IronNetInjector: Turla’s New Malware Loading Tool (Paloalto, 2021/02/19)
https://unit42.paloaltonetworks.com/ironnetinjector/
⇒ https://malware-log.hatenablog.com/entry/2021/02/19/000000_7
◆Russian state hackers use new TinyTurla malware as secondary backdoor (BleepingComputer, 2021/09/21 11:54)
[ロシアの国家ハッカーが新しいTinyTurlaマルウェアを二次的なバックドアとして使用]
https://www.bleepingcomputer.com/news/security/russian-state-hackers-use-new-tinyturla-malware-as-secondary-backdoor/
⇒ https://malware-log.hatenablog.com/entry/2021/09/21/000000_1
■2022年
◆ロシア政府の「サイバー攻撃」を実行する、ハッカーたちの「ダークな実態」 (現代ビジネス, 2022/05/23)
https://gendai.ismedia.jp/articles/-/95259
⇒ https://malware-log.hatenablog.com/entry/2022/05/23/000000_5
◆Ukraine targeted by almost 800 cyberattacks since the war started (BleepingComputer, 2022/06/30 10:57)
[ウクライナ、開戦以来約800件のサイバー攻撃で標的にされる]
https://www.bleepingcomputer.com/news/security/ukraine-targeted-by-almost-800-cyberattacks-since-the-war-started/
⇒ https://malware-log.hatenablog.com/entry/2022/06/30/000000_7
◆「ロシアを攻撃する」とうたったマルウェアアプリをロシアが作成し使用者の情報を収集していることが判明 (Gigazine, 2022/07/20 21:00)
https://gigazine.net/news/20220720-russia-hacking-app-ukraine/
⇒ https://malware-log.hatenablog.com/entry/2022/07/20/000000
■2023年
◆Snake malware biting hard on 50 apps for only $25 (BleepingComputer, 2021/10/29 12:20)
https://www.bleepingcomputer.com/news/security/snake-malware-biting-hard-on-50-apps-for-only-25/
⇒ https://malware-log.hatenablog.com/entry/2021/10/29/000000_4
◆米政府、マルウェア「Snake」の分析結果を公開 - 露関与と指摘 (Security NEXT, 2023/05/10)
https://www.security-next.com/146010
⇒ https://malware-log.hatenablog.com/entry/2023/05/10/000000
◆ロシアの情報窃取用のコンピューター網を遮断、米FBI (CNN, 2023/05/11 17:30)
https://www.cnn.co.jp/tech/35203658.html
⇒ https://malware-log.hatenablog.com/entry/2023/05/11/000000
◆Microsoft: Hackers turn Exchange servers into malware control centers (BleepingComputer, 2023/07/19 15:06)
[マイクロソフト ハッカーがExchangeサーバーをマルウェアのコントロールセンターに変える]
https://www.bleepingcomputer.com/news/security/microsoft-hackers-turn-exchange-servers-into-malware-control-centers/
⇒ https://malware-log.hatenablog.com/entry/2023/07/19/000000_1
【ブログ】
■2014年
◆The Epic Turla Operation (SecureList(Kaspersky), 2014/08/07)
https://securelist.com/the-epic-turla-operation/65545/
⇒ https://malware-log.hatenablog.com/entry/2014/08/07/000000_3
■2017年
◆New ESET research uncovers Gazer, the stealthy backdoor that spies on embassies (ESET, 2017/08/30 14:53)
https://www.welivesecurity.com/2017/08/30/eset-research-cyberespionage-gazer/
⇒ https://malware-log.hatenablog.com/entry/2017/08/30/000000_6
◆Turla の自動起動手口 (@port139 Blog, 2017/09/02)
http://malware-log.hatenablog.com/entry/2018/03/02/000000_1
⇒ https://malware-log.hatenablog.com/entry/2017/09/02/000000
■2018年
◆Meet CrowdStrike’s Adversary of the Month for March: VENOMOUS BEAR (Crowdstrike, 2018/03/12)
https://www.crowdstrike.com/blog/meet-crowdstrikes-adversary-of-the-month-for-march-venomous-bear/
⇒ https://malware-log.hatenablog.com/entry/2018/03/12/000000_14
◆Post 0x17.1: Analyzing Turla’s Keyloggern (0ffset, 2018/09/14)
https://0ffset.wordpress.com/2018/09/14/post-0x17-1-turla-keylogger/
⇒ https://malware-log.hatenablog.com/entry/2018/09/14/000000_3
■2020年
◆AcidBox: Rare Malware Repurposing Turla Group Exploit Targeted Russian Organizations (Paloalto, 2020/06/17)
https://unit42.paloaltonetworks.com/acidbox-rare-malware/
⇒ https://malware-log.hatenablog.com/entry/2020/06/17/000000_4
【公開情報】
■2017年
◆New Pacifier APT Components Point to Russian-Linked Turla Group (Bitdefender, 2017/09/01)
https://media.scmagazine.com/documents/314/bitdefender-whitepaper-pacifie_78483.pdf
⇒ https://malware-log.hatenablog.com/entry/2017/09/01/000000_8
■2018年
◆Advisory: Turla group malware (NCSC, 2018/01/18)
https://www.ncsc.gov.uk/alerts/turla-group-malware
⇒ https://malware-log.hatenablog.com/entry/2018/01/18/000000_7
【資料】
■2014年
◆The Epic Turla Operation: Solving some of the mysteries of Snake/Uroboros (Kaspersky, 2014/08/07)
https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2018/03/08080105/KL_Epic_Turla_Technical_Appendix_20140806.pdf
⇒ https://malware-log.hatenablog.com/entry/2014/08/07/000000_7
■2017年
◆Gazing at Gazer (WeliveSecurity(ESET), 2017/08/31)
Turla’s new second stage backdoor
https://www.welivesecurity.com/wp-content/uploads/2017/08/eset-gazer.pdf
⇒ https://malware-log.hatenablog.com/entry/2017/08/31/000000_3
◆Turla group using Neuron and Nautilus tools alongside Snake malware (NCSC, 2017/11/23)
https://www.ncsc.gov.uk/content/files/protected_files/article_files/Turla%20group%20using%20Neuron%20and%20Nautilus%20tools%20alongside%20Snake%20malware_1.pdf
⇒ https://malware-log.hatenablog.com/entry/2017/11/23/000000_1
■2018年
◆Turla Neuron Malware Update.pdf (NCSC, 2018/01/18)
https://www.ncsc.gov.uk/content/files/protected_files/article_files/Turla%20Neuron%20Malware%20Update.pdf
⇒ https://malware-log.hatenablog.com/entry/2018/01/18/000000_12
◆Diplomats in Eastern Europe bitten by a Turla mosquito (Welivesecurity(ESET), 2018/01)
https://www.welivesecurity.com/wp-content/uploads/2018/01/ESET_Turla_Mosquito.pdf
⇒ https://malware-log.hatenablog.com/entry/2018/01/31/000000_12
■2019年
◆ChromeとFirefoxを改変する「目的不明」の攻撃手法が新たに発見される (Gigazine, 2019/10/07 11:50)
https://gigazine.net/news/20191007-russian-hacker-chrome-firefox-tls-traffic/
⇒ https://malware-log.hatenablog.com/entry/2019/10/07/000000
■2020年
◆TURLA OUTLOOK BACKDOOR (ESET, 2018/08)
Analysis of an unusual Turla backdoor
https://www.welivesecurity.com/wp-content/uploads/2018/08/Eset-Turla-Outlook-Backdoor.pdf
⇒ https://malware-log.hatenablog.com/entry/2018/08/31/000000_2
【IoC情報】
◆AcidBox (2020/06/17)
https://ioc.hatenablog.com/entry/2020/06/17/000000
【検索】
google: Turla
google: Snake Malware
google: Uroburos
google: Venomous Bear
google:news: Turla
google:news: Snake Malware
google:news: Uroburos
google:news: Venomous Bear
google: site:virustotal.com Turla
google: site:virustotal.com Snake Malware
google: site:virustotal.com Uroburos
google: site:virustotal.com Venomous Bear
google: site:github.com Turla
google: site:github.com Snake Malware
google: site:github.com Uroburos
google: site:github.com Venomous Bear
■Bing
https://www.bing.com/search?q=Turla
https://www.bing.com/search?q=Snake%20Malware
https://www.bing.com/search?q=Uroburos
https://www.bing.com/search?q=Venomous%20Bear
https://www.bing.com/news/search?q=Turla
https://www.bing.com/news/search?q=Snake%20Malware
https://www.bing.com/news/search?q=Uroburos
https://www.bing.com/news/search?q=Venomous%20Bear
https://twitter.com/search?q=%23Turla
https://twitter.com/search?q=%23Snake%20Malware
https://twitter.com/search?q=%23Uroburos
https://twitter.com/search?q=%23Venomous%20Bear
https://twitter.com/hashtag/Turla
https://twitter.com/hashtag/Snake%20Malware
https://twitter.com/hashtag/Uroburos
https://twitter.com/hashtag/Venomous%20Bear
【関連情報】
◆ComRAT (まとめ)
https://malware-log.hatenablog.com/entry/ComRAT
関連情報
【関連まとめ記事】
◆標的型攻撃組織 / APT (まとめ)
https://malware-log.hatenablog.com/entry/APT
