サイバーセキュリティ研究者は、ロシアのハッカーグループGamaredonとTurlaの2つが協力し、ウクライナの組織を標的として共同で侵害している証拠を確認しました。
スロバキアのサイバーセキュリティ企業ESETは、2025年2月にウクライナのエンドポイントでGamaredonのツールPteroGraphinおよびPteroOddがTurlaグループのKazuarバックドアを実行するために使用されているのを観測したと発表しました。これは、Turlaがウクライナ内の特定のマシンへのアクセスを得てKazuarバックドアを配布するために、Gamaredonと積極的に協力している可能性が高いことを示しています。
「PteroGraphinはKazuar v3バックドアを再起動するために使用されました。これは、おそらくKazuarがクラッシュしたか自動的に起動しなかった場合です」とESETはThe Hacker Newsに共有したレポートで述べています。「したがって、PteroGraphinはTurlaによるリカバリ手段として使用された可能性が高いです。」
別の事例として、2025年4月と6月に、ESETはPteroOddおよびPteroPasteという2つの他のGamaredonマルウェアファミリーを通じてKazuar v2の展開も検知したと述べています。
Gamaredon(別名Aqua Blizzard、Armageddon)およびTurla(別名Secret Blizzard、Venomous Bear)は、ロシア連邦保安庁(FSB)に関連していると評価されており、ウクライナを標的とした攻撃や活動で知られています。
「Gamaredonは少なくとも2013年から活動しており、多くの攻撃、特にウクライナ政府機関に対する攻撃の責任があります」とESETは述べています。
「Turla(別名Snake)は、少なくとも2004年から、場合によっては1990年代後半から活動している悪名高いサイバー諜報グループです。主にヨーロッパ、中央アジア、中東の政府や外交機関など、ハイプロファイルな標的に焦点を当てています。2008年の米国国防総省や2014年のスイス防衛企業RUAGなど、主要な組織への侵入で知られています。」
サイバーセキュリティ企業は、2022年のロシアによるウクライナへの全面侵攻がこの協力関係を促進した可能性が高いとし、最近の攻撃は主にウクライナの防衛分野に集中していると述べています。
Turlaの主要なインプラントの1つがKazuarであり、頻繁にアップデートされるマルウェアです。以前にはAmadeyボットを利用してTavdigというバックドアを展開し、その後.NETベースのツールをドロップしていました。このマルウェアに関連する初期のアーティファクトは、カスペルスキーによると、2016年には野生環境で確認されています。
一方、PteroGraphin、PteroOdd、PteroPasteは、Gamaredonが追加のペイロードを配布するために開発した拡大しつつあるツール群の一部です。PteroGraphinは、Microsoft Excelアドインやスケジュールタスクを永続化メカニズムとして利用し、コマンド&コントロール(C2)にTelegraph APIを用いるPowerShellツールです。2024年8月に初めて発見されました。
Gamaredonが使用した初期アクセスの経路は明確ではありませんが、同グループはスピアフィッシングや、PteroLNKなどのツールを使ったリムーバブルドライブ上の悪意あるLNKファイルによる拡散の歴史があります。
全体として、過去18か月間にウクライナ国内の7台のマシンでTurla関連のインジケーターが検出され、そのうち4台は2025年1月にGamaredonによって侵害されていました。Kazuarの最新バージョン(Kazuar v3)の展開は2月末に行われたとされています。
「Kazuar v2とv3は基本的に同じマルウェアファミリーであり、同じコードベースを共有しています」とESETは述べています。「Kazuar v3はKazuar v2よりも約35%多くのC#コード行を含み、追加のネットワーク転送方法(WebソケットおよびExchange Web Services経由)を導入しています。」
攻撃チェーンは、GamaredonがPteroGraphinを展開し、それがPteroOddと呼ばれるPowerShellダウンローダーをダウンロードし、さらにTelegraphからペイロードを取得してKazuarを実行するというものでした。このペイロードは、Kazuarの起動前に被害者のコンピュータ名やシステムドライブのボリュームシリアル番号をCloudflare Workersのサブドメインに収集・送信するようにも設計されています。
とはいえ、ここで重要なのは、GamaredonがKazuarをダウンロードしたことを示唆する兆候がある点です。バックドアは2025年2月11日からシステム上に存在していたとされています。
この現象が孤立したものではないことを示す証拠として、ESETは2025年3月にウクライナの別のマシンで別のPteroOddサンプルを特定し、そこにもKazuarが存在していたことを明らかにしました。このマルウェアは、インストールされている.NETバージョンの一覧を含む幅広いシステム情報を収集し、外部ドメイン(”eset.ydns[.]eu”)に送信することができます。
Gamaredonのツールセットには.NETマルウェアが含まれておらず、TurlaのKazuarは.NETベースであることから、この情報収集ステップはTurla向けである可能性が高いとESETは中程度の確信をもって評価しています。
2回目の攻撃は2025年4月中旬に検知され、PteroOddがPteroEffigyというコードネームの別のPowerShellダウンローダーをドロップし、最終的に”eset.ydns[.]eu”ドメインに接続してKazuar v2(”scrss.ps1″)を配信しました。これは2023年末にPalo Alto Networksによって文書化されています。
ESETは、2025年6月5日と6日に3回目の攻撃チェーンも検知したと述べており、PteroPasteと呼ばれるPowerShellダウンローダーが使用され、ウクライナ国内の2台のマシンに”91.231.182[.]187″ドメインからKazuar v2(”ekrn.ps1″)をドロップ・インストールするのが観測されました。”ekrn”という名称の使用は、攻撃者がESETエンドポイントセキュリティ製品の正規バイナリである”ekrn.exe”になりすます試みである可能性があります。
「現在、両グループ(いずれもFSBに関連)が協力しており、GamaredonがTurlaに初期アクセスを提供していると高い確信をもって考えています」と、ESETの研究者Matthieu Faou氏とZoltán Rusnák氏は述べています。
翻訳元: https://thehackernews.com/2025/09/russian-hackers-gamaredon-and-turla.html