CrowdStrike Blog:FANCY BEAR( APT28 )、ファンシーベアとは何者か? | ScanNetSecurity
2024.03.19(火)

CrowdStrike Blog:FANCY BEAR( APT28 )、ファンシーベアとは何者か?

Fancy Bear として知られる国家主導の犯罪者グループは、知られる限り2008年から活動しており、世界中のさまざまな組織にとって脅威となっています。

国際 海外情報
国家主導の犯罪者グループ「Fancy Bear」
国家主導の犯罪者グループ「Fancy Bear」 全 1 枚 拡大写真
 サイバーセキュリティオペレーションを「チームスポーツ」にたとえる CrowdStrike社は、あたかもサッカーやラグビーの監督が、対戦チームの長所と弱点を詳細に分析して試合の作戦を立てるように、セキュリティにおいても対戦相手であるサイバー攻撃者の分析が欠かせないと考えています。

 同社は、ロシアなら「熊」、中国なら「パンダ」、北朝鮮なら「千里馬(チョリマ:朝鮮の伝説の馬)」等々、国家や民族によってサイバー攻撃者に動物の名前をつけるなど、国際的にも個性的なサイバー攻撃者分析を行っています。

 サイバー攻撃者の活動契機となりうる過去の歴史的・政治的記念日などをまとめたカレンダー「 CrowdStrike Adversary Calendar 」として、その分析研究結果が公開されたり、あるいは名付けを行ったサイバー攻撃者をアメコミのキャラクターのように擬人化して、それをプリントした T シャツを作成しスタッフで着用することで、モチベーションを昂揚させるなど、その姿勢には一切妥協がありません。

 また、今春読者プレゼントとして提供された「 CrowdStrike Adversary Calendar 2019 」には、応募〆切から半年が経過した現在でも、日本法人に直接問い合わせがあるなど、依然として高い関心を集めています(編集部註:カレンダーの在庫は現在無いとのこと)。

 今回の CrowdStrike Blog は、バックナンバーから重要なサイバー攻撃者をとりあげ紹介します。また、サイバー攻撃者をプリントした T シャツのプレゼントも同時に行っています(応募ページはこちら)。


国家主導の犯罪者グループ「Fancy Bear」
 FancyBear(別名:APT28 または Sofacy )として知られる国家主導の犯罪者グループは、知られる限り 2008 年から活動しており、世界中のさまざまな組織にとって脅威となっています。このグループは、クロスプラットフォームの高度なマルウェアインプラントを使用して、航空宇宙、防衛、エネルギー、政府、メディア、反体制派などの分野を標的としています。

Fancy Bear の手口

 Fancy Bear のコードは、従来からあるコンピューターとモバイルデバイスを対象としています。通常、攻撃ではフィッシングメッセージと、偽の Web サイトを使用して詐取した認証情報が利用されます

 Fancy Bear は、複数の大規模な侵害行動を同時に実行する能力を持っています。ブログ記事『 BearsintheMidst 』では、CrowdStrike の CTO である Dmitri Alperovitch がこのグループによる米国の政治組織に対する攻撃活動について詳しく説明しています。この攻撃活動を行っている間に、このグループは、欧州の軍事組織を対象とする大規模な攻撃にも関与していました。

 この攻撃グループは、XAgent と呼ばれるプライマリーインプラントおよびX-Tunnel、WinIDS、Foozer、DownRange などの専用ツールやドロッパーの開発にかなりの時間を費やしました。この攻撃者の代表的なインプラントは、一般的なコンピューターやモバイルプラットフォーム向けの複数の OS に移植されています。

 このグループは、正当な組織のドメインによく似たドメインを登録することでも知られています。標的とした組織の Web ベースの電子メールサービスのルックアンドフィールを真似てフィッシングサイトを作成します。認証情報を収集するのがその目的です。

Fancy Bear の標的

 Fancy Bear はロシアを拠点とするグループですが、その攻撃の矛先は米国や西欧に留まらず、それ以外の地域にも向けられています

 世界中のさまざまな業界の企業がその標的とされています。防衛省や軍関係の組織も被害に遭っていることから、Fancy Bear の活動は、ロシア政府の戦略的な利益を強く反映するもので、ロシアの諜報サービス機関である GRU (ロシア連邦軍参謀本部情報総局)の関与も疑われています。

 ドイツ議会への攻撃や 2015 年 4 月に発生したフランスの TV 局「 TV5Monde 」に対する攻撃も Fancy Bear によるものであることが明らかにされています。

その他のロシアベースの攻撃グループ

CozyBear
VenomousBear
VoodooBear

 国家主導のその他の攻撃についても興味をお持ちでしょうか? 当社のこちらのページでは、CrowdStrike のチームが発見した新しい攻撃者グループについて紹介しています。

追加情報:

・脅威インテリジェンスを利用して企業を攻撃から防御し、エンドポイントを保護し、高度な技術を用いる攻撃者をプロアクティブに検知する詳しい方法については、CrowdStrikeFalconIntelligence のページをご覧ください。

攻撃者の最新の TTP(戦術、テクニック、手順)に関する知見が必要でしょうか?CrowdStrike2019GlobalThreatReport:AdversaryTradecraftandtheImportanceofSpeed( CrowdStrike の 2019 年グローバル脅威レポート:攻撃者の手口とスピードの重要性)をダウンロードしてください。

*原文は CrowdStrikeBlog サイト掲載:https://www.crowdstrike.com/blog/who-is-fancy-bear/

《CrowdStrike編集チーム (CrowdStrike)》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. テレビ新潟放送網にサイバー攻撃、データが暗号化被害

    テレビ新潟放送網にサイバー攻撃、データが暗号化被害

  2. サイバー攻撃 はじまりはいつも OSINT ~ 日本ハッカー協会 杉浦氏講演

    サイバー攻撃 はじまりはいつも OSINT ~ 日本ハッカー協会 杉浦氏講演

  3. 善意目的でスパム46万通、慈善団体が当局からお目玉

    善意目的でスパム46万通、慈善団体が当局からお目玉

  4. マルウェアが OpenAI の認証情報窃取、約 68 万 8,000 件をダークウェブ等で発見

    マルウェアが OpenAI の認証情報窃取、約 68 万 8,000 件をダークウェブ等で発見

  5. 理研計器の開発センターで放射性同位元素が所在不明に

    理研計器の開発センターで放射性同位元素が所在不明に

  6. 経済産業省 サイバーセキュリティ課 職員を名乗る自動音声電話に注意を呼びかけ

    経済産業省 サイバーセキュリティ課 職員を名乗る自動音声電話に注意を呼びかけ

  7. 愛知陸運にランサムウェア攻撃、不審な電話やメールに注意呼びかけ

    愛知陸運にランサムウェア攻撃、不審な電話やメールに注意呼びかけ

  8. NRIセキュア「企業における情報セキュリティ実態調査 2023」公表、日本の生成 AI 導入済企業 18.0%

    NRIセキュア「企業における情報セキュリティ実態調査 2023」公表、日本の生成 AI 導入済企業 18.0%

  9. 経済産業省「攻撃技術情報の取扱い・活用手引き」と「秘密保持契約に盛り込むべき攻撃技術情報等の取扱いに関するモデル条文」を策定

    経済産業省「攻撃技術情報の取扱い・活用手引き」と「秘密保持契約に盛り込むべき攻撃技術情報等の取扱いに関するモデル条文」を策定

  10. NEC、陸自「多国間サイバー防護競技会(Cyber KONGO 2024)」を支援

    NEC、陸自「多国間サイバー防護競技会(Cyber KONGO 2024)」を支援

ランキングをもっと見る