{ "id": "c87b1536-c612-41e0-bd8e-0448e0ef9898", "created_at": "2026-04-06T00:12:17.285704Z", "updated_at": "2026-04-10T03:37:08.755184Z", "deleted_at": null, "sha1_hash": "c37fa8fdaa83c5e6ed5ed8356467ac36a8ac92af", "title": "分析レポート:Emotetの裏で動くバンキングマルウェア「Zloader」に注意 | LAC WATCH", "llm_title": "", "authors": "", "file_creation_date": "0001-01-01T00:00:00Z", "file_modification_date": "0001-01-01T00:00:00Z", "file_size": 1378170, "plain_text": "分析レポート:Emotetの裏で動くバンキングマルウェア\r\n「Zloader」に注意 | LAC WATCH\r\nBy サイバー救急センター\r\nPublished: 2020-11-25 · Archived: 2026-04-05 17:34:03 UTC\r\n更新:2020年11月25日\r\n更新のお知らせ\r\n2020年11月6日に公開した記事の内容を訂正しました。\r\n【訂正箇所】「表2 BaseConfig情報と感染経路の関連性」内の2020年9月中旬、感染経路が③の場合の\r\nRC4キー\r\n誤:e858071ef441a9a66f1a0506fc20b8c3\r\n正:03d5ae30a0bd934a23b6a7f0756aa504\r\nサイバー救急センターの脅威分析チームです。サイバー救急センターでは、2020年9月にEmotetの攻撃\r\nメールの件数が急増したため注意喚起※1を行いました。その後もEmotetを配布する攻撃は継続してお\r\nり、2020年10月に入ってもEmotetに関連する問い合わせを数多くいただいております。\r\n※1 LAC WATCH:【注意喚起】猛威をふるっているマルウェアEmotet検知数の急増と対策について\r\n図1は、サイバー救急センターへの問い合わせのうちEmotetに関連した問い合わせ件数を示したグラフ\r\nです。2020年8月以降、問い合わせ件数は増え、9月には50件を超える問い合わせがありました。攻撃\r\n者グループは、金融機関サイトを中心に、仮想通貨取引所、ショッピングサイトや検索エンジンサイ\r\nトにも攻撃対象を広げる可能性があるため、状況を確認し、この記事で紹介する対策を実施しておく\r\n必要があります。\r\n図1 Emotetに関連するサイバー救急センターへの問い合わせ状況\r\nEmotet は、情報窃取を行うだけでなく、感染端末から窃取した情報を用いてスパムメールを送信する\r\n機能を有するマルウェアですが、もう一つ大きな役割として他のマルウェアを呼び込むダウンローダ\r\nhttps://www.lac.co.jp/lacwatch/people/20201106_002321.html\r\nPage 1 of 13\n\nとして使用されています。ダウンロードされるマルウェアは、状況や時期に応じて異なりますが、\r\nTrickbotやQbot(Qakbot)、Zloaderなどの情報窃取型のマルウェアです。\r\nサイバー救急センターがEmotetに感染した端末を2020年9月に調査したケースでは、約90%がZloaderに\r\n感染していました。Zloaderに感染した端末を調査する中で、日本の金融機関やクレジットカード会社\r\nを狙った痕跡も確認しています。そこで今回は、猛威をふるっているZloaderについて紹介します。\r\nZloaderとその感染経路\r\nZloaderのBaseConfigと感染経路の関連性\r\n機能を拡充させるZloader\r\n日本の金融機関を狙うZloader\r\nZloaderが端末に残す痕跡\r\nZloader被害に遭わないための対策\r\nZloaderとその感染経路\r\nZloaderは、オンラインバンキングの情報を窃取することを目的としたマルウェアの一つです。追加モ\r\nジュールをC2サーバからダウンロードすることで、遠隔操作が可能なVNC(Virtual Network\r\nComputing)機能や情報窃取が可能なキーロガーやスクリーンショットなどの機能を拡充します。図2\r\nは、Zloaderの動作概要図です。\r\n図2 Zloaderの動作概要図\r\nまず、Zloaderの感染経路に着目します。2020年10月時点で、日本国内の端末がZloaderに感染する経路\r\nは、3つあることを確認しています(図3)。一つは、2020年8月下旬から観測しているEmotet経由でダ\r\nウンロードするケース(①)であり、もう一つは、2020年10月中旬から観測している不正なマクロ付\r\nきのOfficeドキュメントファイルを経由して直接ダウンロードするケース(②)です。その他にも、\r\nhttps://www.lac.co.jp/lacwatch/people/20201106_002321.html\r\nPage 2 of 13\n\nWebサイト上の不正広告によってマルウェアに感染させるエクスプロイトキット経由でZloaderをダウン\r\nロードするケース(③)があり、2019年12月下旬から観測しています。\r\n図3 Zloaderへの3つの感染経路\r\nそれぞれの感染経路で使用されているZloaderは、時期によってバージョンが異なり、バージョンが更\r\n新されるごとに機能を拡充させています。\r\n脅威分析チームでは、2019年12月下旬に日本の金融機関などのアカウントを対象とした1.0系のZloader\r\nを観測しており、この頃から攻撃者グループが日本をターゲットにし始めたと考えています。2020年6\r\n月頃から攻撃は頻繁に行われ、2020年10月でも継続して攻撃が行われています。\r\n表1は、攻撃の観測月とZloaderのバージョンを示したものです。Zloaderのバージョンは頻繁に更新され\r\nており、攻撃者グループの動きが活発であることがわかります。\r\n表1 Zloaderバージョン情報\r\nZloaderのBaseConfigと感染経路の関連性\r\n次に、Zloaderが持つ設定情報をみていきます。Zloaderは、BaseConfigと呼ばれるデータ構造を使用し\r\nて、初期設定情報を保持しています。このBaseConfigには、図4に示すようなボットネットID(赤枠)\r\nhttps://www.lac.co.jp/lacwatch/people/20201106_002321.html\r\nPage 3 of 13\n\nやキャンペーンID(青枠)、通信先(緑枠)やRC4キー(紫枠)などの情報が暗号化されて含まれてい\r\nます。\r\n図4 復号後のBaseConfig(一部抜粋)\r\nここでは、BaseConfig情報と感染経路に着目して、それぞれの経路でダウンロードされたZloaderの関連\r\n性をみていきます(表2)。2020年10月の事例において、感染経路②と③でダウンロードされたZloader\r\nは、共にボットネットID「r1」、キャンペーンID「r1」、RC4キー\r\n「e858071ef441a9a66f1a0506fc20b8c3」であり、同一の設定情報を保持していることがわかります。ま\r\nた、通信先情報(C2サーバ)も同一でした。さらに、このRC4キーに着目してみると、感染経路①を\r\n含む3つの全ての感染経路で同じキーが利用されていることが確認できます。\r\nこのように、ZloaderのBaseConfigに含まれる特定の情報が一致することから、同じ攻撃者グループが\r\n様々な攻撃インフラを利用して活動を行なっている可能性がうかがえます。\r\n表2 BaseConfig情報と感染経路の関連性\r\n機能を拡充させるZloader\r\nZloaderはバージョンアップを繰り返しており、機能を拡大しています。ここでは、Zloaderの仕組みと\r\nバージョン1.3.27.0以降の新しいコマンドなどを紹介します。なお、Zloaderの詳細な解析内容について\r\nは、2020年5月中旬に公開されたMalwareBytes社とHYAS社のレポート※2やProofpoint社のレポート※3を\r\n参照ください。\r\n※2 Shining a light on \"Silent Night\" Zloader/Zbot - Malwarebytes Labs | Malwarebytes Labs\r\n(https://blog.malwarebytes.com/threat-analysis/2020/05/the-silent-night-zloader-zbot/)\r\n※3 ZLoader Loads Again: New ZLoader Variant Returns | Proofpoint US\r\nhttps://www.lac.co.jp/lacwatch/people/20201106_002321.html\r\nPage 4 of 13\n\n一般的にZloaderは、ローダとモジュールによって構成されています。2020年10月現在、3つの感染経路\r\nでダウンロードされているZloaderはローダであり、端末に感染後C2サーバと通信してCore Botと呼ばれ\r\nるモジュールをダウンロードします。ダウンロードされたCore Botは、msiexec.exeなどのプロセスにイ\r\nンジェクトし、動作します。その後、オンラインバンキングマルウェアとしての主要な機能を備えた\r\nZloaderは複数のスレッドを作成し、追加のモジュールの取得やC2サーバからのコマンド待機、感染端\r\n末の情報送信などを行います。\r\n表3に2020年6月以降Core Botで実装されたコマンドを示します。これらのうち、「user_execute_shell」\r\nと「user_execute_cmd」はバージョン1.4.28.0で新しく実装されたコマンドで、いずれも攻撃者が感染端\r\n末上で任意の操作を行うためのものです。また、コマンド「user_execute_mem」は、バージョン\r\n1.3.27.0まで実装されていましたが、その後削除されており、2020年10月29日時点の最新のバージョン\r\n1.6.28.0においても確認されていません。\r\n表3 Core Botのコマンド\r\nなお、上記のコマンドを受信した場合だけでなく、一部の情報窃取機能は必要なモジュールをダウン\r\nロードした直後にも動作します。たとえば、WebブラウザのCookie情報は、C2サーバからコマンド\r\n「user_cookies_get」を受信しなくとも、 SQLiteデータベース関連機能が含まれたモジュールがダウン\r\nロードされた後に窃取されます。\r\nまた、ネットワークやドメイン環境を調査するためのWindows標準コマンドである「cmd.exe /c ipconfig\r\n/all」や「cmd.exe /c net view /all /domain」などに関しても、Core Botの動作開始時に実行され、結果が\r\nC2サーバへ送信されます。\r\nバージョン間の他の大きな特徴として、コマンド「user_files_get」の実装が変化していることが挙げら\r\nれます。具体的には、感染端末から文書ファイル(拡張子がtxt、docx、xlsのファイル)を窃取する機\r\n能が、端末上の仮想通貨ウォレットを窃取する機能へと変化しています。\r\nバージョン1.0.8.0では、コマンドを受信した際に%TEMP%配下に一部の文書ファイルがコピーされ、\r\n別のスレッドによってC2サーバへ送信するという動作でしたが、その後のバージョンでは文書ファイ\r\nルを検索するもののファイルのコピーを行わなくなり、さらにバージョン1.5.28.0では文書ファイルの\r\n検索すらも行われなくなりました(図5)。\r\nまた、%TEMP%配下に一時的にファイルをコピーするという動作にも変更がみられ、ファイルを読み\r\n込んでそのまま送信するようになりました。\r\nhttps://www.lac.co.jp/lacwatch/people/20201106_002321.html\r\nPage 5 of 13\n\n図5 文書ファイルを窃取する機能の比較\r\n(左:バージョン1.0.8.0、右:バージョン1.5.28.0)\r\nその一方で、端末上の仮想通貨ウォレットを窃取する機能が拡充されています。バージョン1.0.8.0で\r\nは、仮想通貨ウォレットであるwallet.datをファイル検索して窃取する程度でしたが、バージョン\r\n1.5.28.0ではBitcoin-QtやLitecoin、Electrum、Ethreumなどの多数のウォレットが狙われるようになりま\r\nした(図6)。\r\nこの機能によって、感染端末上にウォレットが存在する場合はその内容がC2サーバへ送信されます。\r\nなお、この動作はコマンド「user_files_get」の受信に関わらず実行され、C2サーバからコマンドがあっ\r\nた場合にも実行されます。\r\n図6 Bitcoin-Qtのデータを窃取対象とするためのコード(バージョン1.6.28.0)\r\n以上のように、ZloaderのCore Botは開発が盛んに行われており、全体的に不要な機能の削減をしつつ、\r\n攻撃者の目的に沿って機能を追加している傾向があります。そのような中で、2020年10月頃から確認\r\nhttps://www.lac.co.jp/lacwatch/people/20201106_002321.html\r\nPage 6 of 13\n\nしているバージョン1.5.28.0以降から、仮想通貨に関連した機能が拡充されていることから、Zloaderを\r\n利用する攻撃者グループは金銭窃取に高いモチベーションがあるものと考えられます。\r\n日本の金融機関を狙うZloader\r\n多くのオンラインバンキングマルウェアは、Webインジェクション(Webinjects)と呼ばれる攻撃手法\r\nを利用します。この手法は、ユーザのWebブラウザ上で表示されるWebページに対して不正なHTMLや\r\nJavaScriptを挿入し、偽の入力画面などを表示させることで、ユーザの入力情報を窃取するものです。\r\nZloaderもこの攻撃手法を用いて金融機関やクレジットカード会社の認証情報を窃取します。\r\nZloaderが採用しているWebインジェクション用のシステムは、Yummba※4と呼ばれるものです。図7\r\nは、Webインジェクション用の設定ファイルであり、図8は、攻撃者が用意したマニピュレーションサ\r\nーバ※5にアクセスした画面です。2020年10月29日時点では稼働していることが確認できます。\r\n※4 XyliBox: ATSEngine\r\n※5 マニピュレーションサーバ:不正なHTMLやJavaScriptを配信または窃取した認証情報などが送信さ\r\nれる不正なサーバ\r\n図7 Webインジェクション用の設定ファイル(一部抜粋)\r\nhttps://www.lac.co.jp/lacwatch/people/20201106_002321.html\r\nPage 7 of 13\n\n図8 Yummbaを利用したマニピュレーションサーバ\r\n2020年10月下旬に感染経路③で確認したZloaderは、図9に示すような日本の金融機関やクレジットカー\r\nド会社、ショッピングサイトを標的とするWebインジェクション用の設定ファイルを利用していまし\r\nた。これは、ほぼ同時期に感染経路①や感染経路②からダウンロードされたZloaderでも、同様の標的\r\nが含まれており、ここからも、同じ攻撃者グループが様々な攻撃インフラを利用して活動を行なって\r\nいる可能性がうかがえます。\r\nまた、2020年10月下旬に確認できたWebインジェクション用の設定ファイルに含まれていた標的のWeb\r\nサイトは、全て日本のWebサイトであり、明らかに日本のユーザを標的としているということも言えそ\r\nうです。\r\n図9 WebインジェクションのターゲットとなるURLの一例\r\nZloaderが端末に残す痕跡\r\nhttps://www.lac.co.jp/lacwatch/people/20201106_002321.html\r\nPage 8 of 13\n\n端末に作成されたディレクトリやファイル、レジストリキーの痕跡を確認することでZloaderへの感染\r\n有無を判断することが可能です。\r\n1. ディレクトリやファイルの痕跡\r\nZloaderは、「%APPDATA%」配下にランダムな文字列のフォルダを複数作成し(図10)、作成された\r\nフォルダには、それぞれZloaderの複製やC2サーバからダウンロードした追加モジュールなどを暗号化\r\nして保存します。\r\n図10 Zloaderによって「%APPDATA%」配下に作成されたランダムな文字列のフォルダ例\r\n複製されたZloaderの例(図11)\r\n「%APPDATA%¥Ykal¥osognyu.exe」\r\n「%APPDATA%¥Qxpwr¥feyve.exe」\r\n図11 Zloaderが複製されている例\r\nダウンロードされた追加モジュールの例(図12)\r\n「%APPDATA%¥Ucfuba¥yapxu.ew」\r\n「%APPDATA%¥OQcwhf¥irxie.le」\r\nhttps://www.lac.co.jp/lacwatch/people/20201106_002321.html\r\nPage 9 of 13\n\n図12 暗号化されたVNCモジュール(Hidden VNC)が作成されている例\r\n2. レジストリキーの痕跡確認\r\nZloaderは、端末が起動時に自動起動するよう自動起動レジストリを作成します。また、Zloaderのボッ\r\nト情報やWebインジェクションの情報などもレジストリキー\r\n「HKEY_CURRENT_USER\\Software\\Microsoft\\(ランダム文字列)\\(ランダム文字列)」に格納しま\r\nす。\r\n端末の自動起動レジストリキーの例(図13)\r\nHKEY_CURRENT_USER¥Software¥Microsoft¥Windows¥CurrentVersion¥Run\r\n図13 自動起動レジストリキーにZloaderが設定されている例\r\nZloaderの構成情報やWebInjectの情報などが含まれるレジストリキーの例(図14)\r\nHKEY_CURRENT_USER¥Software¥Microsoft¥toxm¥ugba\r\nHKEY_CURRENT_USER¥Software¥Microsoft¥Ofohq¥ukpofu\r\n図14 Zloaderの構成情報が含まれている例\r\nZloader被害に遭わないための対策\r\n2020年10月現在、Zloaderはさまざまな方法で日本のユーザを標的として国内へ配布されています。特\r\nに猛威をふるっているEmotetの感染状況をみると、Zloaderの感染被害に遭っているユーザは多数存在\r\nし、攻撃者は日本の感染端末から情報を窃取している可能性が考えられます。2020年10月下旬の攻撃\r\nで利用されたWebインジェクション用の設定ファイルを確認する限りでは、2020年9月中旬で利用され\r\nたものに比べて対象とする金融機関が増えていました。\r\nhttps://www.lac.co.jp/lacwatch/people/20201106_002321.html\r\nPage 10 of 13\n\n今後、Zloaderを利用する攻撃者グループは、さらなる金融機関サイトの拡大や金銭に関連する情報を\r\n扱う仮想通貨取引所、ショッピングサイトや検索エンジンサイトなどにもターゲットの幅を広げる可\r\n能性があります。\r\n引き続き、Zloaderを拡散するための攻撃は継続することが考えられるため、攻撃の被害に遭うことが\r\nないよう、以下のようなセキュリティ対策が実施できているか今一度ご確認いただくことを推奨しま\r\nす。\r\nWindows OSやOffice製品、Webブラウザなどの各ソフトウェアを常に最新の状態にする\r\nウイルス対策ソフトを導入し、パターンファイルを常に最新の状態に更新する\r\nEDR製品を導入し、感染の検知・防御だけでなく、万が一の際の迅速な対応を可能にする\r\n身に覚えのないメールの添付ファイルは開かない。メール本文中のURLリンクはクリックしない\r\nマクロやセキュリティに関する警告が表示された場合、安易に「マクロを有効にする」「コンテ\r\nンツの有効化」というボタンはクリックしない\r\n脅威分析チームは、今後も、さまざまなマルウェアキャンペーンを継続的に調査し、広く情報を提供\r\nしていきたいと考えていますので、その情報をご活用いただければ幸いです。\r\nサイバー救急センター 脅威分析チーム\r\n(松本、髙源、石川)\r\nIOC(Indicator Of Compromised)\r\nZloaderハッシュ値(MD5)\r\n0a2b1a930b0a1fd7dc11d9f41bb421bb\r\n0ccdbb8625ce02f3b70023367ba727de\r\n23f46600a01ee95f55e6ff51b5e1d5cb\r\n28d032b4df55d51608542d1e7ba25fcb\r\n399afac5870b698e7692fb7bb2a500eb\r\n7f501acc3cb1175798eebc2d7066d3f7\r\n870a53819f2db3549facbf849717aea7\r\nb035e24d80b7460ead4a95d0894ec36d\r\ncd1f5e41d727816c6ca5e6c073130df4\r\nd31b05ee7a806f3ffa827a4586478e92\r\nd5afcf6fe67071bc51781701b7f9281a\r\nf001a34284907effccd73401f3c67024\r\n通信先\r\nas9897234135[.]com\r\nas9897234135[.]in\r\nas9897234135[.]net\r\nas9897234135[.]org\r\nas9897234135[.]xyz\r\nhttps://www.lac.co.jp/lacwatch/people/20201106_002321.html\r\nPage 11 of 13\n\nazoraz[.]net\r\ndasifosafjasfhasf[.]com\r\ndogrunn[.]com\r\ndsdjfhd9ddksaas[.]com\r\ndsdjfhd9ddksaas[.]eu\r\ndsdjfhd9ddksaas[.]pro\r\ndsdjfhd9ddksaas[.]pro\r\ndsdjfhd9ddksaas[.]ru\r\ndsdjfhdsufudhjas[.]com\r\ndsdjfhdsufudhjas[.]com\r\ndsdjfhdsufudhjas[.]info\r\ndsdjfhdsufudhjas[.]info\r\ndsdjfhdsufudhjas[.]name\r\ndsdjfhdsufudhjas[.]net\r\ndsdjfhdsufudhjas[.]pro\r\ndsdjfhdsufudhjas[.]pro\r\ndsdjfhdsufudhjas[.]pw\r\ndsdjfhdsufudhjas[.]su\r\ndsjdjsjdsadhasdas[.]com\r\ndsjdjsjdsadhasdas[.]com\r\nfdsjfjdsfjdsdsjajjs[.]com\r\nfdsjfjdsfjdsdsjajjs[.]com\r\nfdsjfjdsfjdsdsjajjs[.]info\r\nfdsjfjdsfjdsdsjajjs[.]info\r\nfdsjfjdsfjdsjfdjsfh[.]com\r\nfqnssvtmqsywufblocpheas[.]eu\r\nfqnvtmqsyfwublocpheas[.]eu\r\nfqnvtmqsywubflocpheas[.]eu\r\nfqnvtmqsywublfocpheas[.]eu\r\nfqnvtmqsywublocpheas[.]eu\r\nfqnvtmqsywublocpheas[.]ru\r\nfqnvtmqsywublocpheas[.]su\r\nfqnvtmqsywuikdjsmasablocpheas[.]eu\r\nfreebreez[.]com\r\nhbamefphmqsdgkqojgwe[.]com\r\nhoxfqvlgoabyfspvjimc[.]com\r\nidisaudhasdhasdj[.]com\r\nidisaudhasdhasdj[.]com\r\nidisaudhasdhasdj[.]info\r\njdafiasfjsafahhfs[.]com\r\nkaramelliar[.]org\r\nkasfajfsafhasfhaf[.]com\r\nhttps://www.lac.co.jp/lacwatch/people/20201106_002321.html\r\nPage 12 of 13\n\nkdsadisadijdsasm2[.]com\r\nkdsidsiadsakfsas[.]com\r\nlitlblockblack[.]com\r\nmakaronz[.]com\r\nnotsweets[.]net\r\noajdasnndkdahm[.]com\r\nolpons[.]com\r\nricklick[.]com\r\nvaktorianpackif[.]com\r\nyrsfuaegsevyffrfsgpj[.]com\r\nSource: https://www.lac.co.jp/lacwatch/people/20201106_002321.html\r\nhttps://www.lac.co.jp/lacwatch/people/20201106_002321.html\r\nPage 13 of 13", "extraction_quality": 1, "language": "JA", "sources": [ "Malpedia" ], "references": [ "https://www.lac.co.jp/lacwatch/people/20201106_002321.html" ], "report_names": [ "20201106_002321.html" ], "threat_actors": [ { "id": "8941e146-3e7f-4b4e-9b66-c2da052ee6df", "created_at": "2023-01-06T13:46:38.402513Z", "updated_at": "2026-04-10T02:00:02.959797Z", "deleted_at": null, "main_name": "Sandworm", "aliases": [ "IRIDIUM", "Blue Echidna", "VOODOO BEAR", "FROZENBARENTS", "UAC-0113", "Seashell Blizzard", "UAC-0082", "APT44", "Quedagh", "TEMP.Noble", "IRON VIKING", "G0034", "ELECTRUM", "TeleBots" ], "source_name": "MISPGALAXY:Sandworm", "tools": [], "source_id": "MISPGALAXY", "reports": null }, { "id": "3a0be4ff-9074-4efd-98e4-47c6a62b14ad", "created_at": "2022-10-25T16:07:23.590051Z", "updated_at": "2026-04-10T02:00:04.679488Z", "deleted_at": null, "main_name": "Energetic Bear", "aliases": [ "ATK 6", "Blue Kraken", "Crouching Yeti", "Dragonfly", "Electrum", "Energetic Bear", "G0035", "Ghost Blizzard", "Group 24", "ITG15", "Iron Liberty", "Koala Team", "TG-4192" ], "source_name": "ETDA:Energetic Bear", "tools": [ "Backdoor.Oldrea", "CRASHOVERRIDE", "Commix", "CrackMapExec", "CrashOverride", "Dirsearch", "Dorshel", "Fertger", "Fuerboos", "Goodor", "Havex", "Havex RAT", "Hello EK", "Heriplor", "Impacket", "Industroyer", "Karagany", "Karagny", "LightsOut 2.0", "LightsOut EK", "Listrix", "Oldrea", "PEACEPIPE", "PHPMailer", "PsExec", "SMBTrap", "Subbrute", "Sublist3r", "Sysmain", "Trojan.Karagany", "WSO", "Webshell by Orb", "Win32/Industroyer", "Wpscan", "nmap", "sqlmap", "xFrost" ], "source_id": "ETDA", "reports": null }, { "id": "a66438a8-ebf6-4397-9ad5-ed07f93330aa", "created_at": "2022-10-25T16:47:55.919702Z", "updated_at": "2026-04-10T02:00:03.618194Z", "deleted_at": null, "main_name": "IRON VIKING", "aliases": [ "APT44 ", "ATK14 ", "BlackEnergy Group", "Blue Echidna ", "CTG-7263 ", "ELECTRUM ", "FROZENBARENTS ", "Hades/OlympicDestroyer ", "IRIDIUM ", "Qudedagh ", "Sandworm Team ", "Seashell Blizzard ", "TEMP.Noble ", "Telebots ", "Voodoo Bear " ], "source_name": "Secureworks:IRON VIKING", "tools": [ "BadRabbit", "BlackEnergy", "GCat", "NotPetya", "PSCrypt", "TeleBot", "TeleDoor", "xData" ], "source_id": "Secureworks", "reports": null }, { "id": "b3e954e8-8bbb-46f3-84de-d6f12dc7e1a6", "created_at": "2022-10-25T15:50:23.339976Z", "updated_at": "2026-04-10T02:00:05.27483Z", "deleted_at": null, "main_name": "Sandworm Team", "aliases": [ "Sandworm Team", "ELECTRUM", "Telebots", "IRON VIKING", "BlackEnergy (Group)", "Quedagh", "Voodoo Bear", "IRIDIUM", "Seashell Blizzard", "FROZENBARENTS", "APT44" ], "source_name": "MITRE:Sandworm Team", "tools": [ "Bad Rabbit", "Mimikatz", "Exaramel for Linux", "Exaramel for Windows", "GreyEnergy", "PsExec", "Prestige", "P.A.S. Webshell", "AcidPour", "VPNFilter", "Neo-reGeorg", "Cyclops Blink", "SDelete", "Kapeka", "AcidRain", "Industroyer", "Industroyer2", "BlackEnergy", "Cobalt Strike", "NotPetya", "KillDisk", "PoshC2", "Impacket", "Invoke-PSImage", "Olympic Destroyer" ], "source_id": "MITRE", "reports": null } ], "ts_created_at": 1775434337, "ts_updated_at": 1775792228, "ts_creation_date": 0, "ts_modification_date": 0, "files": { "pdf": "https://archive.orkl.eu/c37fa8fdaa83c5e6ed5ed8356467ac36a8ac92af.pdf", "text": "https://archive.orkl.eu/c37fa8fdaa83c5e6ed5ed8356467ac36a8ac92af.txt", "img": "https://archive.orkl.eu/c37fa8fdaa83c5e6ed5ed8356467ac36a8ac92af.jpg" } }