CrowdStrike Blog:CrowdStrike が紹介する「今月の攻撃者」~ VOODOO BEAR | ScanNetSecurity
2024.05.19(日)

CrowdStrike Blog:CrowdStrike が紹介する「今月の攻撃者」~ VOODOO BEAR

この攻撃者グループは主にウクライナの組織を標的としており、2015年に大規模な停電を引き起こした、ウクライナの電力業界を攻撃したインシデントへの関与が疑われています。

国際 海外情報
facebookLINE
ロシア拠点の攻撃者グループ「VOODOO BEAR」
ロシア拠点の攻撃者グループ「VOODOO BEAR」 全 1 枚 拡大写真
 サイバーセキュリティオペレーションを「チームスポーツ」にたとえる CrowdStrike社は、あたかもサッカーやラグビーの監督が、対戦チームの長所と弱点を詳細に分析して試合の作戦を立てるように、セキュリティにおいても対戦相手であるサイバー攻撃者の分析が欠かせないと考えています。

 同社は、ロシアなら「熊」、中国なら「パンダ」、北朝鮮なら「千里馬(チョリマ:朝鮮の伝説の馬)」等々、国家や民族によってサイバー攻撃者に動物の名前をつけるなど、国際的にも個性的なサイバー攻撃者分析を行っています。

 サイバー攻撃者の活動契機となりうる過去の歴史的・政治的記念日などをまとめたカレンダー「 CrowdStrike Adversary Calendar 」として、その分析研究結果が公開されたり、あるいは名付けを行ったサイバー攻撃者をアメコミのキャラクターのように擬人化して、それをプリントした T シャツを作成しスタッフで着用することで、モチベーションを昂揚させるなど、その姿勢には一切妥協がありません。

 また、今春読者プレゼントとして提供された「 CrowdStrike Adversary Calendar 2019 」には、応募〆切から半年が経過した現在でも、日本法人に直接問い合わせがあるなど、依然として高い関心を集めています(編集部註:カレンダーの在庫は現在無いとのこと)。

 今回の CrowdStrike Blog では、「 CrowdStrike Blog 今月のサイバー攻撃者」カテゴリのバックナンバーから、ふたつのサイバー攻撃者をとりあげ紹介します。また、サイバー攻撃者をプリントした T シャツのプレゼントも同時に行っています(応募ページはこちら)。


ロシア拠点の攻撃者グループ「VOODOO BEAR」
 過去数年間、CrowdStrike は、各国の祝日や最も一般的な攻撃者グループの活動日、および重要な地政学的イベントを含む年次カレンダーを公開してきました。各攻撃者グループの行動と標的について CrowdStrike Falcon Intelligence のアナリストがまとめた記録に基づいて、毎月 1 つのグループを取り上げて紹介しています。今年から「今月の攻撃者」と題して、ブログ記事を月次で発表し、攻撃者の背景情報を詳細に説明しています。(編集部註:本記事初出掲載時の 2018 年 1 月 29 日当時の情報)

 2018 年 1 月度はロシア拠点の攻撃者グループ「 VOODOO BEAR 」を取り上げます。このグループは SandwormTeam あるいは BlackEnergyAPTGroup とも呼ばれています。

Voodoo Bear の手口

 VOODOO BEAR は、ロシア連邦との関係が疑われる非常に高度な技術を持つ攻撃者グループです。少なくとも 2011 年以来、このグループがコモディティマルウェア BlackEnergy のバージョン 2 と 3 をカスタマイズしてプラグインを開発して、スパイ活動や破壊活動を目的にエネルギー、産業用制御システム、SCADA、政府、メディアなどの関連組織への攻撃を行ってきたことが確認されています。

 このグループが使用したツールの一部( BlackEnergy および GCat )は、コモディティマルウェアをもとに作成されたものです。VOODOOBEAR は、PassKillDisk と呼ばれるワイパー型マルウェアも使用しています。

 VOODOO BEAR のコードには、1965 年にフランク・ハーバートが発表した SF 小説「デューン」からの引用がいくつも含まれており、2014 年終盤にはこのことが公表されました。

Voodoo Bear の標的

 この攻撃者グループは主にウクライナの組織を標的としており、2015 年に大規模な停電を引き起こしたウクライナの電力業界を攻撃したインシデントへの関与が疑われています。ゼロデイエクスプロイトや Black Energy のマルウェアをカスタム開発したプラグインを使用していること、スパイ活動や破壊活動を目的にエネルギー業界や重要インフラを攻撃しているという傾向から見て、Voodoo Bear はロシア側の利益を意図して活動していることが伺われます。

 VOODOO BEAR は、複数のロシア系ハクティビストを運営またはその活動を担う組織に組み込まれているようです。VOODOO BEAR のこれまでの活動内容は、標的型のスパイ活動や破壊工作を通してロシア経済および国家の目的をサポートする組織の活動と一致しています。

その他のロシアベースの攻撃者グループ

FancyBear
CozyBear
VenomousBear

 国家主導のその他の攻撃についても興味をお持ちでしょうか?当社のこちらのページでは、CrowdStrikeのチームが発見した新しい攻撃者グループについて紹介しています。

追加情報:

・VOODOO BEAR のような攻撃者に関する情報を御社のセキュリティ戦略に活用する方法については、FalconIntelligenceの製品ページをご覧ください。

攻撃者の最新の TTP(戦術、テクニック、手順)に関する知見が必要でしょうか?CrowdStrike2019GlobalThreatReport:AdversaryTradecraftandtheImportanceofSpeed(CrowdStrike の 2019 年グローバル脅威レポート:攻撃者の手口とスピードの重要性)をダウンロードしてください。

*原文は CrowdStrikeBlog サイト掲載:https://www.crowdstrike.com/blog/meet-crowdstrikes-adversary-of-the-month-for-january-voodoo-bear/

《Adam Meyers (CrowdStrike)》

関連記事

この記事の写真

/

関連リンク

特集

PageTop

アクセスランキング

  1. ゆめタウン運営イズミへのランサムウェア攻撃、VPN 装置から侵入

    ゆめタウン運営イズミへのランサムウェア攻撃、VPN 装置から侵入

  2. 範を示す ~ MITRE がサイバー攻撃被害公表

    範を示す ~ MITRE がサイバー攻撃被害公表

  3. 検診車で実施した胸部レントゲン検診が対象、川口市の集団検診業務委託先へランサムウェア攻撃

    検診車で実施した胸部レントゲン検診が対象、川口市の集団検診業務委託先へランサムウェア攻撃

  4. 東急のネットワークに不正アクセス、連結子会社のファイルサーバでデータ読み出される

    東急のネットワークに不正アクセス、連結子会社のファイルサーバでデータ読み出される

  5. NRIセキュア 研修コンテンツ「セキュアEggs」基礎編オンデマンド提供、30日間アクセス可

    NRIセキュア 研修コンテンツ「セキュアEggs」基礎編オンデマンド提供、30日間アクセス可

  6. 認証とID管理にガバナンスを ~ NTTデータ先端技術「VANADIS」で実現する「IGA(Identity Governance and Administration)」とは

    認証とID管理にガバナンスを ~ NTTデータ先端技術「VANADIS」で実現する「IGA(Identity Governance and Administration)」とはPR

  7. Adobe Acrobat および Reader に脆弱性、最新バージョンへの更新を呼びかけ

    Adobe Acrobat および Reader に脆弱性、最新バージョンへの更新を呼びかけ

  8. マイクロソフトが 5 月のセキュリティ情報公開、悪用の事実を確認済みの脆弱性が 2 件

    マイクロソフトが 5 月のセキュリティ情報公開、悪用の事実を確認済みの脆弱性が 2 件

  9. 脆弱性管理クラウド「yamory」SBOM 機能に関する特許取得

    脆弱性管理クラウド「yamory」SBOM 機能に関する特許取得

  10. 個人情報漏えいの疑いも ~ 八尾市立斎場職員が加重収賄罪ほかの容疑で逮捕

    個人情報漏えいの疑いも ~ 八尾市立斎場職員が加重収賄罪ほかの容疑で逮捕

ランキングをもっと見る
ホーム 国際 海外情報 記事
TOP