Trusted Design

Malicious Code Analysis on Ukraine's Power Grid Incident

概要

At the end of December 2015, the network system of Ukrainian power companies was attacked by hackers, leaving most areas of western Ukraine in the dark. Security Service of Ukraine (SBU) indicated that Russian spies had implanted malicious softwares in the State Grid which caused power plants shut down unexpectedly. A few days later, security teams overseas claimed that this incident was related to the BlackEnergy trojan and some malicious code samples had been acquired and analyzed. Knownsec Security Team has followed up this incident ever since its happening. This report records the analysis and tracing process of the entire incident.

Created: 2026-02-23

Indicators

類似Pulses

New wave of cyberattacks against Ukrainian power industry (score: 0.77)
20160119: Ukraine Power Industry Cyberattacks (score: 0.77)
BlackEnergy by the SSHBearDoor (score: 0.70)
Domains and Hostnames from the BlackEnergy report (score: 0.69)
BlackEnergy APT Attacks in Ukraine employ spearphishing Word (score: 0.65)

このPulseに関連する脅威アクター (事実ベース)

Kimsuky

Score: 9.37

Matched TTPs:

T1606.002 - SAML Tokens
T1003.007 - Proc Filesystem
T1140 - Deobfuscate/Decode Files or Information
T1008 - Fallback Channels

MITREへのリンク →

FIN13

Score: 3.57

Matched TTPs:

T1606.002 - SAML Tokens
T1140 - Deobfuscate/Decode Files or Information

MITREへのリンク →

Indrik Spider

Score: 4.62

Matched TTPs:

T1606.002 - SAML Tokens
T1003.007 - Proc Filesystem

MITREへのリンク →

Lazarus Group

Score: 5.72

Matched TTPs:

T1606.002 - SAML Tokens
T1216 - System Script Proxy Execution

MITREへのリンク →

OilRig

Score: 7.36

Matched TTPs:

T1606.002 - SAML Tokens
T1003.007 - Proc Filesystem
T1128 - Netsh Helper DLL

MITREへのリンク →

UNC3886

Score: 3.57

Matched TTPs:

T1606.002 - SAML Tokens
T1140 - Deobfuscate/Decode Files or Information

MITREへのリンク →

Sandworm Team

Score: 3.57

Matched TTPs:

T1606.002 - SAML Tokens
T1140 - Deobfuscate/Decode Files or Information

MITREへのリンク →

Salt Typhoon

Score: 3.57

Matched TTPs:

T1606.002 - SAML Tokens
T1140 - Deobfuscate/Decode Files or Information

MITREへのリンク →

APT29

Score: 3.57

Matched TTPs:

T1606.002 - SAML Tokens
T1140 - Deobfuscate/Decode Files or Information

MITREへのリンク →

Play

Score: 3.57

Matched TTPs:

T1606.002 - SAML Tokens
T1140 - Deobfuscate/Decode Files or Information

MITREへのリンク →

RedCurl

Score: 4.84

Matched TTPs:

T1606.002 - SAML Tokens
T1128 - Netsh Helper DLL

MITREへのリンク →

Moses Staff

Score: 3.57

Matched TTPs:

T1606.002 - SAML Tokens
T1140 - Deobfuscate/Decode Files or Information

MITREへのリンク →

Turla

Score: 4.62

Matched TTPs:

T1606.002 - SAML Tokens
T1003.007 - Proc Filesystem

MITREへのリンク →

Ke3chang

Score: 6.09

Matched TTPs:

T1606.002 - SAML Tokens
T1003.007 - Proc Filesystem
T1140 - Deobfuscate/Decode Files or Information

MITREへのリンク →

Mustang Panda

Score: 6.63

Matched TTPs:

T1606.002 - SAML Tokens
T1169 - Sudo

MITREへのリンク →

TeamTNT

Score: 4.62

Matched TTPs:

T1606.002 - SAML Tokens
T1003.007 - Proc Filesystem

MITREへのリンク →

FIN7

Score: 3.57

Matched TTPs:

T1606.002 - SAML Tokens
T1140 - Deobfuscate/Decode Files or Information

MITREへのリンク →

BRONZE BUTLER

Score: 5.81

Matched TTPs:

T1003.007 - Proc Filesystem
T1008 - Fallback Channels

MITREへのリンク →

Earth Lusca

Score: 3.99

Matched TTPs:

T1003.007 - Proc Filesystem
T1140 - Deobfuscate/Decode Files or Information

MITREへのリンク →

Volt Typhoon

Score: 3.99

Matched TTPs:

T1003.007 - Proc Filesystem
T1140 - Deobfuscate/Decode Files or Information

MITREへのリンク →

Rocke

Score: 4.76

Matched TTPs:

T1140 - Deobfuscate/Decode Files or Information
T1008 - Fallback Channels

MITREへのリンク →

APT28

Score: 10.14

Matched TTPs:

T1140 - Deobfuscate/Decode Files or Information
T1546.007 - Netsh Helper DLL
T1566.003 - Spearphishing via Service

MITREへのリンク →

Medusa Group

Score: 12.38

Matched TTPs:

T1140 - Deobfuscate/Decode Files or Information
T1128 - Netsh Helper DLL
T1216 - System Script Proxy Execution
T1094 - Custom Command and Control Protocol

MITREへのリンク →

Blue Mockingbird

Score: 6.01

Matched TTPs:

T1140 - Deobfuscate/Decode Files or Information
T1001.001 - Junk Data

MITREへのリンク →

Axiom

Score: 6.01

Matched TTPs:

T1140 - Deobfuscate/Decode Files or Information
T1160 - Launch Daemon

MITREへのリンク →

APT41

Score: 4.76

Matched TTPs:

T1140 - Deobfuscate/Decode Files or Information
T1008 - Fallback Channels

MITREへのリンク →

Velvet Ant

Score: 6.88

Matched TTPs:

T1128 - Netsh Helper DLL
T1566.003 - Spearphishing via Service

MITREへのリンク →

RTM

Score: 3.29

Matched TTPs:

T1008 - Fallback Channels

MITREへのリンク →

Patchwork

Score: 3.29

Matched TTPs:

T1008 - Fallback Channels

MITREへのリンク →

APT38

Score: 3.62

Matched TTPs:

T1216 - System Script Proxy Execution

MITREへのリンク →

APT37

Score: 3.62

Matched TTPs:

T1216 - System Script Proxy Execution

MITREへのリンク →

このPulseに関連する脅威アクター (推論ベース)

Medusa Group

Score: 0.83

Matched TTPs:

T1216 - System Script Proxy Execution
T1094 - Custom Command and Control Protocol
T1128 - Netsh Helper DLL
T1140 - Deobfuscate/Decode Files or Information

MITREへのリンク →

APT28

Score: 0.73

Matched TTPs:

T1566.003 - Spearphishing via Service
T1546.007 - Netsh Helper DLL
T1140 - Deobfuscate/Decode Files or Information

MITREへのリンク →

Kimsuky

Score: 0.66

Matched TTPs:

T1008 - Fallback Channels
T1003.007 - Proc Filesystem
T1606.002 - SAML Tokens
T1140 - Deobfuscate/Decode Files or Information

MITREへのリンク →

Related CVEs

このPulseに見つかったCVEはありません。

Pulse – 脅威アクターグラフ

← Pulse一覧に戻る