CrowdStrike Blog:FANCY BEAR( APT28 )、ファンシーベアとは何者か? | ScanNetSecurity
2024.03.29(金)

CrowdStrike Blog:FANCY BEAR( APT28 )、ファンシーベアとは何者か?

Fancy Bear として知られる国家主導の犯罪者グループは、知られる限り2008年から活動しており、世界中のさまざまな組織にとって脅威となっています。

国際 海外情報
国家主導の犯罪者グループ「Fancy Bear」
国家主導の犯罪者グループ「Fancy Bear」 全 1 枚 拡大写真
 サイバーセキュリティオペレーションを「チームスポーツ」にたとえる CrowdStrike社は、あたかもサッカーやラグビーの監督が、対戦チームの長所と弱点を詳細に分析して試合の作戦を立てるように、セキュリティにおいても対戦相手であるサイバー攻撃者の分析が欠かせないと考えています。

 同社は、ロシアなら「熊」、中国なら「パンダ」、北朝鮮なら「千里馬(チョリマ:朝鮮の伝説の馬)」等々、国家や民族によってサイバー攻撃者に動物の名前をつけるなど、国際的にも個性的なサイバー攻撃者分析を行っています。

 サイバー攻撃者の活動契機となりうる過去の歴史的・政治的記念日などをまとめたカレンダー「 CrowdStrike Adversary Calendar 」として、その分析研究結果が公開されたり、あるいは名付けを行ったサイバー攻撃者をアメコミのキャラクターのように擬人化して、それをプリントした T シャツを作成しスタッフで着用することで、モチベーションを昂揚させるなど、その姿勢には一切妥協がありません。

 また、今春読者プレゼントとして提供された「 CrowdStrike Adversary Calendar 2019 」には、応募〆切から半年が経過した現在でも、日本法人に直接問い合わせがあるなど、依然として高い関心を集めています(編集部註:カレンダーの在庫は現在無いとのこと)。

 今回の CrowdStrike Blog は、バックナンバーから重要なサイバー攻撃者をとりあげ紹介します。また、サイバー攻撃者をプリントした T シャツのプレゼントも同時に行っています(応募ページはこちら)。


国家主導の犯罪者グループ「Fancy Bear」
 FancyBear(別名:APT28 または Sofacy )として知られる国家主導の犯罪者グループは、知られる限り 2008 年から活動しており、世界中のさまざまな組織にとって脅威となっています。このグループは、クロスプラットフォームの高度なマルウェアインプラントを使用して、航空宇宙、防衛、エネルギー、政府、メディア、反体制派などの分野を標的としています。

Fancy Bear の手口

 Fancy Bear のコードは、従来からあるコンピューターとモバイルデバイスを対象としています。通常、攻撃ではフィッシングメッセージと、偽の Web サイトを使用して詐取した認証情報が利用されます

 Fancy Bear は、複数の大規模な侵害行動を同時に実行する能力を持っています。ブログ記事『 BearsintheMidst 』では、CrowdStrike の CTO である Dmitri Alperovitch がこのグループによる米国の政治組織に対する攻撃活動について詳しく説明しています。この攻撃活動を行っている間に、このグループは、欧州の軍事組織を対象とする大規模な攻撃にも関与していました。

 この攻撃グループは、XAgent と呼ばれるプライマリーインプラントおよびX-Tunnel、WinIDS、Foozer、DownRange などの専用ツールやドロッパーの開発にかなりの時間を費やしました。この攻撃者の代表的なインプラントは、一般的なコンピューターやモバイルプラットフォーム向けの複数の OS に移植されています。

 このグループは、正当な組織のドメインによく似たドメインを登録することでも知られています。標的とした組織の Web ベースの電子メールサービスのルックアンドフィールを真似てフィッシングサイトを作成します。認証情報を収集するのがその目的です。

Fancy Bear の標的

 Fancy Bear はロシアを拠点とするグループですが、その攻撃の矛先は米国や西欧に留まらず、それ以外の地域にも向けられています

 世界中のさまざまな業界の企業がその標的とされています。防衛省や軍関係の組織も被害に遭っていることから、Fancy Bear の活動は、ロシア政府の戦略的な利益を強く反映するもので、ロシアの諜報サービス機関である GRU (ロシア連邦軍参謀本部情報総局)の関与も疑われています。

 ドイツ議会への攻撃や 2015 年 4 月に発生したフランスの TV 局「 TV5Monde 」に対する攻撃も Fancy Bear によるものであることが明らかにされています。

その他のロシアベースの攻撃グループ

CozyBear
VenomousBear
VoodooBear

 国家主導のその他の攻撃についても興味をお持ちでしょうか? 当社のこちらのページでは、CrowdStrike のチームが発見した新しい攻撃者グループについて紹介しています。

追加情報:

・脅威インテリジェンスを利用して企業を攻撃から防御し、エンドポイントを保護し、高度な技術を用いる攻撃者をプロアクティブに検知する詳しい方法については、CrowdStrikeFalconIntelligence のページをご覧ください。

攻撃者の最新の TTP(戦術、テクニック、手順)に関する知見が必要でしょうか?CrowdStrike2019GlobalThreatReport:AdversaryTradecraftandtheImportanceofSpeed( CrowdStrike の 2019 年グローバル脅威レポート:攻撃者の手口とスピードの重要性)をダウンロードしてください。

*原文は CrowdStrikeBlog サイト掲載:https://www.crowdstrike.com/blog/who-is-fancy-bear/

《CrowdStrike編集チーム (CrowdStrike)》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

    富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

  2. ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

    ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

  3. プロ e スポーツ選手のアカウントにハッキング

    プロ e スポーツ選手のアカウントにハッキング

  4. 日東製網へのランサムウェア攻撃、約 1 ヶ月で全システム復旧

    日東製網へのランサムウェア攻撃、約 1 ヶ月で全システム復旧

  5. 総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

    総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

  6. 脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術

    脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術PR

  7. 時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

    時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

  8. 早稲田スポーツ新聞会のホームページがウイルス感染、意図せずファイルがダウンロードされる被害

    早稲田スポーツ新聞会のホームページがウイルス感染、意図せずファイルがダウンロードされる被害

  9. Meta 社へ申請するも復旧困難と判断、乗っ取り被害の「池袋エリアプラットフォーム」の Facebook ページ削除

    Meta 社へ申請するも復旧困難と判断、乗っ取り被害の「池袋エリアプラットフォーム」の Facebook ページ削除

  10. Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)

    Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)

ランキングをもっと見る