Adversary

Cozy Bear

発生地

ロシア連邦

Community Identifiers

APT29, YTTRIUM, CozyCar, CozyDuke, The Dukes, IRON HEMLOCK

Cozy Bear (コージー・ベア)はロシア出身の攻撃者グループで、ロシア連邦対外情報部(SVRまたはCлу́жба вне́шней разве́дки Росси́йской Федера́ции、略称СВР РФ)のために行動している可能性が高いと考えられています。

2020年12月、SolarWindsに対するサイバー攻撃のニュースが報じられました。多くの大企業や政府機関を含む33,000以上の組織で使用されているソフトウェアの開発会社であるSolarWindsは、18,000以上の顧客がダウンロードしたOrionプラットフォームのアップデートにSUNBURSTマルウェアが挿入されていたことを明らかにしました。攻撃者グループらが非常に深刻な侵入を行い、数か月にわたって民間および公共の多数のシステムにアクセスしたため、緊急の国家安全保障会議が開かれました。それでは、サイバー攻撃を行った張本人は誰なのでしょうか?これほどまでに洗練された性質の前例のないサプライチェーン攻撃は、攻撃者の背後に国民国家の支援があることを示しています。この件について、ロシアは関与を否定していますが、残された証拠は同国の悪名高いハッカー集団「Cozy Bear(コージー・ベア)」が犯人であることを示唆しています。

しかし、Cozy Bearの活動が、SVRの内部で直接行われているのか、それとも情報機関をサポートする独立した組織(請負業者や学術機関など)の一部で行われているのかは、現時点ではわかっていません。

この攻撃者グループは、大規模なスピアフィッシング活動により様々なマルウェアを配信していることが確認されており、多数の分野の政治団体、科学団体、国家安全保障組織を標的とした活動の一環として、中程度の信頼度で評価されている複数のSVR作戦本部の永続的な収集要件を満たしていると思われます。このターゲットプロファイルには、シンクタンク、防衛関連企業、学術機関を含む政府、政治団体、非政府/非営利組織(NGO)が含まれます。地理的には全世界を対象としていますが、Cozy Bearは主に米国と西ヨーロッパをターゲットとして活動しているようです。Cozy Bearは、標的となる組織から機密データを盗む活動を行っている可能性が高いと判断されています。

Cozy Bearに起因するマルウェアファミリーはかなり多様化しており、資金力のある攻撃者グループのために別々の開発チームが作成した可能性が高いことを示唆しています。これらのツールは高度なものが多く、検知や調査を防ぐために暗号技術や反解析技術を駆使して実装されています。Cozy Bearが使用したマルウェアの開発は、伝統的なヒューミント諜報活動の影響を強く受けている可能性があり、ソーシャルメディアサイトを利用したデッドドロップC2やTorベースの配信メカニズム等の斬新な特徴を持っています。その後の活動では、攻撃者グループがフル機能を搭載したマルウェアファミリーに頼ることは少なくなり、代わりにオペレータ主導型の手動によるネットワーク侵害活動をサポートし、アクターが特定されるリスクを低減できるバックドア機能が採用されるようになりました。

Targeted Nations

  • Flag Icon of the country オーストリア

    オーストリア

  • Flag Icon of the country ブラジル

    ブラジル

  • Flag Icon of the country 中国

    中国

  • Flag Icon of the country フランス

    フランス

  • Flag Icon of the country ドイツ

    ドイツ

  • Flag Icon of the country ハンガリー

    ハンガリー

  • Flag Icon of the country 日本

    日本

  • Flag Icon of the country メキシコ

    メキシコ

  • Flag Icon of the country オランダ

    オランダ

  • Flag Icon of the country ニュージーランド

    ニュージーランド

  • Flag Icon of the country ノルウェー

    ノルウェー

  • Flag Icon of the country ポルトガル

    ポルトガル

  • Flag Icon of the country 韓国

    韓国

  • Flag Icon of the country スペイン

    スペイン

  • Flag Icon of the country トルコ

    トルコ

  • Flag Icon of the country ウクライナ

    ウクライナ

  • Flag Icon of the country 英国

    英国

  • Flag Icon of the country 米国

    米国

  • Flag Icon of the country ウズベキスタン

    ウズベキスタン

Artwork

攻撃者グループ:Cozy Bear - 脅威アクター

Crowdstrike Cozy Bear

I have read and accept the terms and conditions

Download
次の攻撃者グループを見る

Terms and conditions

In order to download the adversary artwork, we kindly request you to accept our terms and conditions displayed below.

This image (“artwork”), is the intellectual property of CrowdStrike, Inc. and its affiliates and licensors (collectively, “us” or “we”) and may include other marks, trademarks, copyrighted materials, and other intellectual property (“assets”) that belong t o us, including, without limitation, CrowdStrike, the CrowdStrike logo, and CrowdStrike Falcon. We retain all right, title and interest in and to the artwork and all assets included therein. This artwork is offered to you as a convenience for your lawful a nd non-commercial use, solely as authorized by us, and subject to your compliance with these terms and conditions (“terms”) and any other guidelines or specifications that we may provide from time to time. We reserve the right to change these terms at any time without prior notice.

You should periodically check the latest information posted herein to be sure that you are in compliance. By downloading the artwork, you attest that you are at least 18 years of age and agree to the following terms, which const itute the sole and entire agreement between you and us with respect to the artwork. We reserve all rights not expressly granted to you herein. You may not use or display the artwork in any way: (i) that violates the rights of any person or entity or that may give rise to civil or criminal liability under laws or regulations applicable to you, another user, and/or CrowdStrike; (ii) that is defamatory, obscene, indecent, abusive, harassing, violent, hateful, inflammatory or otherwise objectionable; (iii) tha t is false, deceptive, misleading or fraudulent, including but not limited to: (a) any attempt to impersonate any person or entity, including any other user, CrowdStrike or a CrowdStrike employee; (b) any attempt to misrepresent your identity or affiliation with any person or organization; or (iv) for the purposes of recruiting, advertising, solicitation or commercial activities of any kind without our express written consent.

THE ARTWORK IS PROVIDED TO YOU BY CROWDSTRIKE ON AN “AS IS” AND “AS AVAILABLE” BA SIS, WITHOUT ANY WARRANTIES OF ANY KIND, EITHER EXPRESS OR IMPLIED. EXCEPT TO THE EXTENT THAT A DISCLAIMER OF LIABILITY IS PROHIBITED UNDER APPLICABLE LAW, IN NO EVENT WILL CROWDSTRIKE, ITS AFFILIATES AND ITS LICENSORS, EMPLOYEES, AGENTS, OFFICERS AND DIRE CTORS BE LIABLE FOR DAMAGES OF ANY KIND, UNDER ANY LEGAL THEORY, ARISING OUT OF OR IN CONNECTION WITH YOUR USE, OR INABILITY TO USE, THE ARTWORK.