ガマレドンが多段階フィッシング攻撃でGammaDrop、GammaLoadダウンローダーを使用。
ガマレドン脅威グループに関連する継続的なサイバースパイキャンペーンが、多段階フィッシング攻撃と進化するマルウェアローダーを使用してウクライナ政府機関を積極的に標的にしています。
UAC-0010またはShuckwormとしても知られるガマレドンは、攻撃者が意図した抽出パス外に悪意のあるファイルを書き込むことを許可するWinRARのディレクトリトラバーサル脆弱性CVE-2025-8088の悪用を継続しています。
この脆弱性は2025年半ば以降、広く悪用されていますが、ガマレドンのキャンペーンはその規模と執拗性で際立っています。
観察された攻撃では、被害者はウクライナ政府の侵害されたアカウントまたはなりすまされたドメインから送信されたフィッシングメールを受け取ります。これらのメールはしばしば公式な裁判所の召喚状や法的通知を模倣し、ユーザーの操作の可能性を高めます。
活動を追跡している Harfang Labの研究者は、2025年9月以来、WinRAR脆弱性CVE-2025-8088を利用してカスタムVBScriptベースのダウンローダーを静かに展開する、少なくとも12波のスピアフィッシングメールを発見しました。
フィッシングメールは、デコイPDFと、NTFS代替データストリーム(ADS)を使用して埋め込まれた隠されたVBScriptペイロードを含む悪意のあるRARアーカイブを含んでいます。
スピアフィッシングメールは、2026年3月18日、オデッサ州の地方政府関係者に属する侵害されたメールアカウントから送信されました。
抽出されると、エクスプロイトはWinRAR脆弱性を強制して、VBScriptファイルをWindowsスタートアップフォルダーに直接書き込み、永続性を確保します。
GammaDrop として知られるドロップされたスクリプトは、第一段階のダウンローダーとして機能します。これは高度に難読化されており、ガマレドンの自動マルウェア生成技術と一致する、ランダム化された変数とジャンクコードを使用しています。
フィッシングキャンペーンにおけるGammaLoad
GammaDropはCloudflare Workers上でホストされている攻撃者制御インフラストラクチャからGammaLoadという第二段階のペイロードを取得します。ペイロードはHTAファイルとして保存され、非表示のウィンドウでmshta.exeを使用して実行されます。
GammaLoadは永続メカニズムと偵察ツールの両方として機能します。RunOnceレジストリキーを確立し、コマンド・アンド・コントロール(C2)サーバーと継続的に通信する二次VBScriptペイロードを展開します。
マルウェアはコンピューター名、システムドライブ、ボリュームシリアル番号などの基本的なシステム情報を収集し、それをビーコニングトラフィックに埋め込みます。これにより、攻撃者は感染したシステムを一意に識別し、後続のペイロードを選別して配信できます。
収集したメールに基づいて、ウクライナセキュリティサービス(SSU)が最も激しく標的にされた機関であることを観察しました。ルハンスク、リヴィウ、チェルニウツィを含む異なるオブラストで。
GammaLoadは動的に生成されたURLを使用し、正当なブラウザユーザーエージェント文字列を使用してそのトラフィックを偽装します。通信は主にCloudflare Workersドメインを経由して行われ、フォールバックインフラストラクチャはロシアのドメインでホストされています。
各ビーコンリクエストには、エンコードされた被害者識別子とタイムスタンプが含まれており、侵害されたマシンの正確な追跡を可能にします。マルウェアはループ内で動作し、約3分半ごとにC2サーバーに接触します。
特に、ガマレドンは検出を回避するために、フラッシュフラックスDNS、動的DNSプロバイダー、短命ドメインを組み合わせてインフラストラクチャを頻繁にローテーションします。
初期のキャンペーンはRARアーカイブに頼っていましたが、2026年5月の最近の波はZIPまたはRARファイルに偽装されたARJアーカイブへの移行を示しています。
これらの新しいサンプルはGammaDrop およびGammaLoadペイロードを配信していますが、Bingbotなどのボットのようなユーザーエージェント文字列を含む、通信パターンの軽微な変更を導入しています。
さらに、一部のバリアントはGammaDrop段階をスキップし、GammaLoadを直接展開して、感染チェーンを効率化しています。
キャンペーンの成功の背後にある重要な要因は、対象のドメイン全体の不十分なメール認証です。多くのウクライナの機関は、適切に実施されたSPF、DKIM、およびDMARC ポリシーを欠いており、攻撃者が信頼できる送信者になりすましたり、侵害されたアカウントを悪用したりすることができます。
ガマレドンオペレーターは、194.58.66.0/24サブネット内のインフラストラクチャを一貫して使用してフィッシングメールをリレーし、盗まれた認証情報で認証したり、弱いドメイン保護を悪用したりすることが多いです。
このキャンペーンはガマレドンのウクライナ政府、軍事、および法執行機関への長期的な焦点を維持しています。地域事務所、特にウクライナセキュリティサービス(SSU)に関連するものがプライマリターゲットのようです。
マルウェアの相対的に低い技術的洗練性にもかかわらず、グループの強さはその高い作戦的テンポと継続的な適応にあります。
社会工学、信頼できるインフラストラクチャの悪用、および自動化ツールの組み合わせにより、ガマレドンは一貫した成功で大規模な侵入活動を維持することができます。
セキュリティエキスパートは、厳格なDMARC ポリシーの実施、既知の悪意のあるIPレンジのブロック、およびWinRARのような脆弱なソフトウェアのパッチ適用を推奨して、これらの継続的な攻撃がもたらすリスクを軽減します。p>
翻訳元: https://gbhackers.com/gammaload-in-phishing-campaigns/
