CrowdStrike Blog:FANCY BEAR( APT28 )、ファンシーベアとは何者か? | ScanNetSecurity
2024.04.27(土)

CrowdStrike Blog:FANCY BEAR( APT28 )、ファンシーベアとは何者か?

Fancy Bear として知られる国家主導の犯罪者グループは、知られる限り2008年から活動しており、世界中のさまざまな組織にとって脅威となっています。

国際 海外情報
facebookLINE
国家主導の犯罪者グループ「Fancy Bear」
国家主導の犯罪者グループ「Fancy Bear」 全 1 枚 拡大写真
 サイバーセキュリティオペレーションを「チームスポーツ」にたとえる CrowdStrike社は、あたかもサッカーやラグビーの監督が、対戦チームの長所と弱点を詳細に分析して試合の作戦を立てるように、セキュリティにおいても対戦相手であるサイバー攻撃者の分析が欠かせないと考えています。

 同社は、ロシアなら「熊」、中国なら「パンダ」、北朝鮮なら「千里馬(チョリマ:朝鮮の伝説の馬)」等々、国家や民族によってサイバー攻撃者に動物の名前をつけるなど、国際的にも個性的なサイバー攻撃者分析を行っています。

 サイバー攻撃者の活動契機となりうる過去の歴史的・政治的記念日などをまとめたカレンダー「 CrowdStrike Adversary Calendar 」として、その分析研究結果が公開されたり、あるいは名付けを行ったサイバー攻撃者をアメコミのキャラクターのように擬人化して、それをプリントした T シャツを作成しスタッフで着用することで、モチベーションを昂揚させるなど、その姿勢には一切妥協がありません。

 また、今春読者プレゼントとして提供された「 CrowdStrike Adversary Calendar 2019 」には、応募〆切から半年が経過した現在でも、日本法人に直接問い合わせがあるなど、依然として高い関心を集めています(編集部註:カレンダーの在庫は現在無いとのこと)。

 今回の CrowdStrike Blog は、バックナンバーから重要なサイバー攻撃者をとりあげ紹介します。また、サイバー攻撃者をプリントした T シャツのプレゼントも同時に行っています(応募ページはこちら)。


国家主導の犯罪者グループ「Fancy Bear」
 FancyBear(別名:APT28 または Sofacy )として知られる国家主導の犯罪者グループは、知られる限り 2008 年から活動しており、世界中のさまざまな組織にとって脅威となっています。このグループは、クロスプラットフォームの高度なマルウェアインプラントを使用して、航空宇宙、防衛、エネルギー、政府、メディア、反体制派などの分野を標的としています。

Fancy Bear の手口

 Fancy Bear のコードは、従来からあるコンピューターとモバイルデバイスを対象としています。通常、攻撃ではフィッシングメッセージと、偽の Web サイトを使用して詐取した認証情報が利用されます

 Fancy Bear は、複数の大規模な侵害行動を同時に実行する能力を持っています。ブログ記事『 BearsintheMidst 』では、CrowdStrike の CTO である Dmitri Alperovitch がこのグループによる米国の政治組織に対する攻撃活動について詳しく説明しています。この攻撃活動を行っている間に、このグループは、欧州の軍事組織を対象とする大規模な攻撃にも関与していました。

 この攻撃グループは、XAgent と呼ばれるプライマリーインプラントおよびX-Tunnel、WinIDS、Foozer、DownRange などの専用ツールやドロッパーの開発にかなりの時間を費やしました。この攻撃者の代表的なインプラントは、一般的なコンピューターやモバイルプラットフォーム向けの複数の OS に移植されています。

 このグループは、正当な組織のドメインによく似たドメインを登録することでも知られています。標的とした組織の Web ベースの電子メールサービスのルックアンドフィールを真似てフィッシングサイトを作成します。認証情報を収集するのがその目的です。

Fancy Bear の標的

 Fancy Bear はロシアを拠点とするグループですが、その攻撃の矛先は米国や西欧に留まらず、それ以外の地域にも向けられています

 世界中のさまざまな業界の企業がその標的とされています。防衛省や軍関係の組織も被害に遭っていることから、Fancy Bear の活動は、ロシア政府の戦略的な利益を強く反映するもので、ロシアの諜報サービス機関である GRU (ロシア連邦軍参謀本部情報総局)の関与も疑われています。

 ドイツ議会への攻撃や 2015 年 4 月に発生したフランスの TV 局「 TV5Monde 」に対する攻撃も Fancy Bear によるものであることが明らかにされています。

その他のロシアベースの攻撃グループ

CozyBear
VenomousBear
VoodooBear

 国家主導のその他の攻撃についても興味をお持ちでしょうか? 当社のこちらのページでは、CrowdStrike のチームが発見した新しい攻撃者グループについて紹介しています。

追加情報:

・脅威インテリジェンスを利用して企業を攻撃から防御し、エンドポイントを保護し、高度な技術を用いる攻撃者をプロアクティブに検知する詳しい方法については、CrowdStrikeFalconIntelligence のページをご覧ください。

攻撃者の最新の TTP(戦術、テクニック、手順)に関する知見が必要でしょうか?CrowdStrike2019GlobalThreatReport:AdversaryTradecraftandtheImportanceofSpeed( CrowdStrike の 2019 年グローバル脅威レポート:攻撃者の手口とスピードの重要性)をダウンロードしてください。

*原文は CrowdStrikeBlog サイト掲載:https://www.crowdstrike.com/blog/who-is-fancy-bear/

《CrowdStrike編集チーム (CrowdStrike)》

関連記事

この記事の写真

/

関連リンク

特集

PageTop

アクセスランキング

  1. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

  2. 雨庵 金沢で利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

    雨庵 金沢で利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

  3. タカラベルモントの海外向けウェブサイトのサーバがフィッシングメール送信の踏み台に

    タカラベルモントの海外向けウェブサイトのサーバがフィッシングメール送信の踏み台に

  4. スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談

    スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談PR

  5. セトレならまちで利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

    セトレならまちで利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

  6. 社員のセキュリティ意欲高める施策とは? 罰則は逆効果 ~ プルーフポイント「2024 State of the Phish」日本語版公表

    社員のセキュリティ意欲高める施策とは? 罰則は逆効果 ~ プルーフポイント「2024 State of the Phish」日本語版公表

  7. LINEヤフー委託先への不正アクセス、報告書を受け 2 度目の行政指導

    LINEヤフー委託先への不正アクセス、報告書を受け 2 度目の行政指導

  8. Linux の GSM ドライバにおける Use-After-Free の脆弱性(Scan Tech Report)

    Linux の GSM ドライバにおける Use-After-Free の脆弱性(Scan Tech Report)

  9. 訃報:セキュリティの草分けロス・アンダーソン氏 死去 67 歳、何回分かの生涯に匹敵する業績

    訃報:セキュリティの草分けロス・アンダーソン氏 死去 67 歳、何回分かの生涯に匹敵する業績

  10. 重い 高い 検索も使いにくいメールを企業の 6 割が使う理由

    重い 高い 検索も使いにくいメールを企業の 6 割が使う理由

ランキングをもっと見る
ホーム 国際 海外情報 記事
TOP