ロシア国家と関係のある脅威アクターであるGamaredonとTurlaが、ウクライナの重要な防衛標的を侵害するために協力していることが、ESETの新しいレポートで明らかになりました。
これらの協力は、2025年のキャンペーンにおいてツールの共有利用を伴っており、ロシアの内部治安および国家防衛におけるより広範な戦略文化を反映しています。
2月に観測された4件の攻撃では、ESETはTurlaがGamaredonのインプラントを通じてコマンドを発行できることを示すペイロードを捕捉しました。
Gamaredon専用と考えられていたダウンローダーツール「PteroGraphin」が、Turlaのバックドアマルウェア「Kazuar」を再起動するために使用されていました。そのため、Kazuarがクラッシュしたり自動的に起動しなかった場合に、TurlaがPteroGraphinをリカバリ手段として利用した可能性が高いと考えられます。
Kazuarは、被害者のコンピュータ名やユーザー名、実行中のプロセス一覧、OSバージョン、さまざまな場所のファイルやディレクトリのリストなど、マシンデータをダウンロードするために使用されました。
2025年4月と6月には、Kazuar v2のインストーラーがGamaredonのツールによって直接展開されました。
これらの発見により、研究者たちは両グループが協力していると高い確信を持って結論付けています。
「これら2つのグループを技術的指標によって結びつけることができたのは、これが初めてです」とESETの研究者は、9月19日に公開されたレポートで述べています。
「2022年のウクライナへの全面侵攻によって、この収束が強化された可能性が高く、ESETのデータは最近数カ月間、GamaredonとTurlaの活動がウクライナ防衛分野に集中していることを明確に示しています」と彼らは付け加えました。
異なる標的戦略を持つFSB系グループの協力
GamaredonとTurlaは、ロシア連邦保安庁(FSB)に所属していると考えられています。
両グループは、2022年のロシアによるウクライナ侵攻以降、非常に活発に活動しています。
Gamaredonは「数百台、場合によっては数千台のマシン」を侵害しているとみられる一方で、Turlaは過去18カ月間にウクライナ国内で7台のマシンでしか検出されていません。これは、Turlaが極めて機密性の高い情報を含む特定のマシンのみに関心を持っていることを示唆している、と研究者は指摘しています。
両アクターはサイバースパイ活動に注力しています。
Gamaredonは少なくとも2013年から活動しており、主にウクライナの政府機関を標的としています。
Turlaは少なくとも2004年から、場合によっては1990年代後半から活動しているとみられています。主にヨーロッパ、中央アジア、中東の政府や外交機関など、重要な標的に焦点を当てています。
2月、4月、6月に検出された攻撃に加え、研究者たちはウクライナ国内のマシンでKazuarが存在する場所にGamaredonのツールも存在する他の事例も観測しました。
翻訳元: https://www.infosecurity-magazine.com/news/russian-state-hackers-collaborate/