Sekoia.ioが公開した最新調査によると、ウクライナの政府機関・軍・重要インフラを標的としたGamaredonの活発なキャンペーンが確認されており、Windowsのネイティブ機能と正規クラウドサービスを組み合わせた、ほぼ完全なファイルレスの洗練された感染チェーンが明らかになっています。
ロシアとの関連が指摘されるこのAPTは、FSBに公式帰属されており、ACTINIUM、Armageddon、UAC-0010の別名でも追跡されています。2026年1月、YARAを活用したハンティング作戦によって特定されました。
研究者たちは初期の調査結果に加え、侵害されたホストから70件以上のフォレンジックアーティファクトを収集し、同グループが進行中の感染チェーンの大部分を再構築することに成功しました。
Sekoiaによると、攻撃はスピアフィッシングと見られる手口で配布された兵器化されたXHTMLファイルを起点とし、HTML Smugglingを使って悪意のあるRARアーカイブを被害者のマシンにドロップします。
このアーカイブはCVE-2025-8088(パストラバーサルの重大な脆弱性)を悪用します。WinRAR 7.13より前のバージョンが対象で、隠しHTAファイルをユーザーのWindowsスタートアップディレクトリに密かに展開することで、追加のユーザー操作なしに次回ログイン時の自動実行を確保します。
HTAファイルはその後、Supabaseのインフラにホストされたリモートペイロードを参照してmshta.exeを呼び出します。その際、偽のwww.bbc.com認証プレフィックスを使ってリクエストを偽装し、簡易的な検査をかわします。
このステージはGammaPhishに分類されており、同グループのモジュール型ローダーファミリーであるGammaLoadを配信します。GammaLoadはホストの情報を収集し、VBScriptのカスケードステージを通じてさらなるペイロードをダウンロードします。
発見された最も技術的に高度なコンポーネントがGammaWormです。これはVBScriptベースのワームで、2万行を超える難読化されたコードで構成されています。
最大の特徴は、NTFSの代替データストリーム(ADS)——元来Macintoshファイルシステムとの互換性のために設計されたWindowsネイティブ機能——を悪用し、コアモジュール全体を標準的なディレクトリ一覧から完全に見えない形で保存・実行する点です。
GammaWormは%USERPROFILE%:GTR、:URL、:LNK、:SERVERなどの隠しストリームに個別のモジュールを書き込み、正規のWindowsメンテナンスプロセスを装った3つのスケジュールタスク(DiskDiagnosticDataCollector、SilentCleanup、SmartRetry)によってそれらを起動します。
感染拡大にはUSBおよびネットワークドライブが標的にされます。正規フォルダを隠蔽し、ウクライナ語のソーシャルエンジニアリングファイル名(軍や政府の文書に見せかけたルアーを含む)を持つ悪意のあるLNKショートカットファイルに置き換えることで、被害者にワームを実行させようとします。
GammaWormはDead Drop Resolver(DDR)と呼ばれる手法でC2インフラを解決します。Telegram、Telegra.ph、Teletype.in、Cloudflare Workersにホストされた公開アクセス可能なページからライブサーバのアドレスを取得し、HKCU\Console\配下のWindowsレジストリキーに直接格納します。
このハイブリッドモデルは正規プラットフォームと攻撃者が管理するドメインを組み合わせており、ネットワークベースの検出を大幅に困難にしています。
ワームは無限ループで動作し、リクエスト本文ではなくランダム化されたHTTPヘッダーにホストのフィンガープリントデータを埋め込んだPOSTリクエストを送信します。これは意図的な回避戦術です。
サーバのHTTPレスポンスコードに応じて、新しいVBScriptペイロードをメモリ上で実行するか、C2設定をその場で更新します。
Sekoiaの研究者はさらに、GammaSteelの最新バージョンを入手しました。これはPowerShellベースのモジュール型スティーラーで、Windows DPAPIで保護された71の暗号化モジュールに分割される形でWindowsレジストリ内に完全にステージングされます。
新たに挿入されたUSBドライブのファイルを含む対象ドキュメントを、S3互換のクラウドストレージに窃取します。フォールバックとして、攻撃者が管理するC2サーバも利用されます。
注: IPアドレスとドメインは、誤解決やハイパーリンク化を防ぐため、意図的にdefang処理(例: [.])が施されています。MISP、VirusTotal、お使いのSIEMなど、管理された脅威インテリジェンスプラットフォーム内でのみrefang処理を行ってください。
Sekoia.ioは、Gamaredonの急速なマルウェア改変とDDRベースの永続化手法を鑑みると、侵害されたホストへの推奨対処法は完全なシステムワイプであると指摘しています。
防御担当者は、%USERPROFILE%配下でのADS作成を監視し、HKCU\Console\レジストリハイブをモニタリングするとともに、バックスラッシュが後続しないコロンを含むパスでwscript.exeが実行された場合にアラートを設定することが推奨されます。
翻訳元: https://cyberpress.org/gamaredon-apt-hides-malware/