ロシアの国家関与型ワームが、Windowsのほとんど使われていないファイル機能の内部にコンポーネントを隠蔽していることが確認されました。これにより、感染マシン上にほぼ痕跡を残すことなく、ウクライナのネットワーク全体へ拡散しています。
Sekoiaが公開した新たな分析レポートによると、このワームはGamaredonの最新ツールです。Gamaredonは長期にわたるスパイ活動グループであり、ウクライナの治安機関がロシア連邦保安庁(FSB)との関与を正式に認定しています。
このグループはほぼ全面的にウクライナを標的としており、政府機関・軍・重要インフラを攻撃して文書を窃取し、長期的なアクセスを維持することに注力しています。
Sekoiaのチームは、侵害されたホスト上の痕跡とパートナーから提供された70件以上のサンプルをもとに、2026年1月に確認され、本稿執筆時点でも活動中の感染チェーンを再構築しました。このキャンペーンはほぼ完全にファイルレスのVBScriptへ移行しており、Gamaredonの以前のツールと比べて隠蔽性が明らかに向上しています。
WinRARの脆弱性を悪用した隠しファイルの投下
侵入は、細工されたxHTMLファイルから始まりました。このファイルを開くと、悪意あるRARアーカイブが標的のマシンへ密かに展開されます。Sekoiaはこの初期アクセス段階を「GammaPhish」と呼んでいます。
このアーカイブはCVE-2025-8088を悪用しています。WinRARのパストラバーサル脆弱性であり、Googleの脅威アナリストもSandwormやTurlaなど他のロシア系攻撃者との関連を別途指摘しています。
この脆弱性を悪用することで、WindowsのStartupフォルダに隠しHTAファイルが設置されます。次回ログイン時に自動実行され、リモートサーバーから次のペイロードを取得する仕組みです。囮となるPDFファイルも用意されており、被害者が異常に気づきにくいよう工夫されています。
ロシアの国家的脅威に関する詳細はこちら:Russian APT Groups Intensify Attacks in Europe with Zero-Day Exploits
隠しストリームに潜むワーム
Sekoiaは、このキャンペーンで最も際立った隠蔽性を持つのがGammaWormだと説明しています。このワームはファイルをディスクに書き込む代わりに、NTFSの代替データストリーム(Alternate Data Streams)にモジュールを隠蔽します。これはWindowsの標準機能であり、既存ファイルにデータを付随させながらも、通常のディレクトリ一覧には一切表示されません。
起動後、ワームはルーチンメンテナンスを装ったスケジュールタスクを設定して持続性を確立し、ファイルの可視性を制御するレジストリ設定を変更することで自身の活動を隠蔽しました。
その後、USBスティックやネットワークドライブへと拡散し、正規フォルダを隠蔽したうえで、ウクライナ語の挑発的なファイル名を持つ悪意あるショートカットにすり替えることで、ユーザーが開くよう誘導しました。
C2(コマンド&コントロール)通信には、TelegramやCloudflareなどの正規の公開サービスをデッドドロップとして活用し、取得したライブのサーバーアドレスをレジストリに保存する手法を採用しています。このワームはバックドアとして無限にループし、オペレーターが送信するコードをいつでも実行できる状態を維持します。
Sekoiaは、感染した場合の最も安全な対応は完全なワイプ(初期化)であると警告しています。「このマルウェアはDead Drop Resolvers(DDR)に依存しているため、新たなペイロードを継続的にダウンロードすることが可能です。クリーニングを試みても、フォールバックメカニズムによってマルウェアが復元されることが多いのです」と同社は述べています。
また、この脆弱性を修正したWinRARのバージョン7.13以降へのアップデートも強く推奨されています。
翻訳元: https://www.infosecurity-magazine.com/news/gamaredon-worm-ntfs-data-streams/
