CrowdStrike Blog:CrowdStrike が紹介する「今月の攻撃者」~ VOODOO BEAR | ScanNetSecurity
2020.09.25(金)

CrowdStrike Blog:CrowdStrike が紹介する「今月の攻撃者」~ VOODOO BEAR

この攻撃者グループは主にウクライナの組織を標的としており、2015年に大規模な停電を引き起こした、ウクライナの電力業界を攻撃したインシデントへの関与が疑われています。

国際 海外情報
ロシア拠点の攻撃者グループ「VOODOO BEAR」
ロシア拠点の攻撃者グループ「VOODOO BEAR」 全 1 枚 拡大写真
 サイバーセキュリティオペレーションを「チームスポーツ」にたとえる CrowdStrike社は、あたかもサッカーやラグビーの監督が、対戦チームの長所と弱点を詳細に分析して試合の作戦を立てるように、セキュリティにおいても対戦相手であるサイバー攻撃者の分析が欠かせないと考えています。

 同社は、ロシアなら「熊」、中国なら「パンダ」、北朝鮮なら「千里馬(チョリマ:朝鮮の伝説の馬)」等々、国家や民族によってサイバー攻撃者に動物の名前をつけるなど、国際的にも個性的なサイバー攻撃者分析を行っています。

 サイバー攻撃者の活動契機となりうる過去の歴史的・政治的記念日などをまとめたカレンダー「 CrowdStrike Adversary Calendar 」として、その分析研究結果が公開されたり、あるいは名付けを行ったサイバー攻撃者をアメコミのキャラクターのように擬人化して、それをプリントした T シャツを作成しスタッフで着用することで、モチベーションを昂揚させるなど、その姿勢には一切妥協がありません。

 また、今春読者プレゼントとして提供された「 CrowdStrike Adversary Calendar 2019 」には、応募〆切から半年が経過した現在でも、日本法人に直接問い合わせがあるなど、依然として高い関心を集めています(編集部註:カレンダーの在庫は現在無いとのこと)。

 今回の CrowdStrike Blog では、「 CrowdStrike Blog 今月のサイバー攻撃者」カテゴリのバックナンバーから、ふたつのサイバー攻撃者をとりあげ紹介します。また、サイバー攻撃者をプリントした T シャツのプレゼントも同時に行っています(応募ページはこちら)。


ロシア拠点の攻撃者グループ「VOODOO BEAR」
 過去数年間、CrowdStrike は、各国の祝日や最も一般的な攻撃者グループの活動日、および重要な地政学的イベントを含む年次カレンダーを公開してきました。各攻撃者グループの行動と標的について CrowdStrike Falcon Intelligence のアナリストがまとめた記録に基づいて、毎月 1 つのグループを取り上げて紹介しています。今年から「今月の攻撃者」と題して、ブログ記事を月次で発表し、攻撃者の背景情報を詳細に説明しています。(編集部註:本記事初出掲載時の 2018 年 1 月 29 日当時の情報)

 2018 年 1 月度はロシア拠点の攻撃者グループ「 VOODOO BEAR 」を取り上げます。このグループは SandwormTeam あるいは BlackEnergyAPTGroup とも呼ばれています。

Voodoo Bear の手口

 VOODOO BEAR は、ロシア連邦との関係が疑われる非常に高度な技術を持つ攻撃者グループです。少なくとも 2011 年以来、このグループがコモディティマルウェア BlackEnergy のバージョン 2 と 3 をカスタマイズしてプラグインを開発して、スパイ活動や破壊活動を目的にエネルギー、産業用制御システム、SCADA、政府、メディアなどの関連組織への攻撃を行ってきたことが確認されています。

 このグループが使用したツールの一部( BlackEnergy および GCat )は、コモディティマルウェアをもとに作成されたものです。VOODOOBEAR は、PassKillDisk と呼ばれるワイパー型マルウェアも使用しています。

 VOODOO BEAR のコードには、1965 年にフランク・ハーバートが発表した SF 小説「デューン」からの引用がいくつも含まれており、2014 年終盤にはこのことが公表されました。

Voodoo Bear の標的

 この攻撃者グループは主にウクライナの組織を標的としており、2015 年に大規模な停電を引き起こしたウクライナの電力業界を攻撃したインシデントへの関与が疑われています。ゼロデイエクスプロイトや Black Energy のマルウェアをカスタム開発したプラグインを使用していること、スパイ活動や破壊活動を目的にエネルギー業界や重要インフラを攻撃しているという傾向から見て、Voodoo Bear はロシア側の利益を意図して活動していることが伺われます。

 VOODOO BEAR は、複数のロシア系ハクティビストを運営またはその活動を担う組織に組み込まれているようです。VOODOO BEAR のこれまでの活動内容は、標的型のスパイ活動や破壊工作を通してロシア経済および国家の目的をサポートする組織の活動と一致しています。

その他のロシアベースの攻撃者グループ

FancyBear
CozyBear
VenomousBear

 国家主導のその他の攻撃についても興味をお持ちでしょうか?当社のこちらのページでは、CrowdStrikeのチームが発見した新しい攻撃者グループについて紹介しています。

追加情報:

・VOODOO BEAR のような攻撃者に関する情報を御社のセキュリティ戦略に活用する方法については、FalconIntelligenceの製品ページをご覧ください。

攻撃者の最新の TTP(戦術、テクニック、手順)に関する知見が必要でしょうか?CrowdStrike2019GlobalThreatReport:AdversaryTradecraftandtheImportanceofSpeed(CrowdStrike の 2019 年グローバル脅威レポート:攻撃者の手口とスピードの重要性)をダウンロードしてください。

*原文は CrowdStrikeBlog サイト掲載:https://www.crowdstrike.com/blog/meet-crowdstrikes-adversary-of-the-month-for-january-voodoo-bear/

《Adam Meyers (CrowdStrike)》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. 事務局のパソコンが「Emotet」感染、パスワード付きZipファイル添付に注意呼びかけ(日本医師会)

    事務局のパソコンが「Emotet」感染、パスワード付きZipファイル添付に注意呼びかけ(日本医師会)

  2. 社内パソコンがEmotet感染、取引先でも不審メールを確認(山一商事)

    社内パソコンがEmotet感染、取引先でも不審メールを確認(山一商事)

  3. まさに「おつかれさま」9万件のPDFの次は工事図面の全庁調査実施(新潟県)

    まさに「おつかれさま」9万件のPDFの次は工事図面の全庁調査実施(新潟県)

  4. Active Directoryの認証コンポーネントに、管理者権限を窃取される脆弱性(JVN)

    Active Directoryの認証コンポーネントに、管理者権限を窃取される脆弱性(JVN)

  5. パスワードリスト型攻撃のフォレンジック調査で新たな不正ログイン判明(三越伊勢丹)

    パスワードリスト型攻撃のフォレンジック調査で新たな不正ログイン判明(三越伊勢丹)

  6. 10月13日でMicrosoft Office 2010のサポート終了、移行を呼びかけ(IPA)

    10月13日でMicrosoft Office 2010のサポート終了、移行を呼びかけ(IPA)

  7. TLS 1.2以前の暗号を解読する「Raccoon Attack」攻撃(JVN)

    TLS 1.2以前の暗号を解読する「Raccoon Attack」攻撃(JVN)

  8. わかりやすさ重視、テレワークセキュリティのチェックリスト公開(総務省)

    わかりやすさ重視、テレワークセキュリティのチェックリスト公開(総務省)

  9. 「ひでじビールオンラインショップ」に不正アクセス、カード決済停止後も決済情報流出(宮崎ひでじビール)

    「ひでじビールオンラインショップ」に不正アクセス、カード決済停止後も決済情報流出(宮崎ひでじビール)

  10. 社員PCがEmotetに感染、社内外のメールデータが流出(岩出建設)

    社員PCがEmotetに感染、社内外のメールデータが流出(岩出建設)

ランキングをもっと見る