出典:Alex Segre(Alamy Stock Photo経由)
ロシアと連携するAPT「Gamaredon」は、以前NATO諸国への標的を拡大した後、ウクライナ政府機関を狙った高度なスピアフィッシング攻撃を行っています。
これは本日ESETのZoltán Rusnákによって発表された調査によるもので、同氏はこの国家支援型攻撃者が現在、ウクライナ政府機関のみを標的に戻したと述べています。彼らはスピアフィッシングキャンペーンだけでなく、武器化されたネットワークドライブやUSBデバイスを使った攻撃も行っています。
Rusnák氏は、最近追跡した脅威活動において、攻撃者の高度化が顕著に見られたとし、それは新しいツールセットの導入と、Cloudflareのサブドメインを利用した高度な難読化技術によるものだと記しています。
Gamaredonの攻撃
このホワイトペーパーによると、Gamaredon(別名Primitive Bear)は少なくとも2013年から活動しており、ロシア連邦保安庁(FSB)の一部としてロシアが占領するクリミア地域で活動しています。数年間このグループを追跡してきたESETの研究者らは、Gamaredonが別の脅威アクター「InvisiMole」と協力していると考えています。
Rusnák氏は、Gamaredonは主に「洗練されておらず騒がしいアプローチ」で知られるサイバースパイ活動者だが、多くのツールにステルス機能を強化するなど、著しい進歩が見られると記しています。
「例えば」とRusnák氏は書いています。「Excelアドインを利用した珍しい永続化手法が新しいツールPteroGraphinで使われており、WMIイベントサブスクリプションやFileSystemWatcherオブジェクトがPteroPSDoorで用いられ、ファイル流出時のファイルシステム操作の多さを減らしています。また、多くのツールがファイルシステム上のファイルではなくWindowsレジストリ内に常駐するよう再設計されています。」
Rusnák氏は、2024年を通じて、Gamaredonは主にスピアフィッシングによって初期アクセスを獲得し、「USBやネットワークドライブを武器化するカスタムマルウェア」を使用していることを発見しました。
スピアフィッシングの面では、Rusnák氏によれば、Gamaredonは1日から5日間のキャンペーンを実施し、例えば被害者が召喚状を受け取ったと偽るメールで標的に接触しようとします。
「Gamaredonは、さまざまな形式(RAR、ZIP、7z)のアーカイブを添付したメールや、HTMLスモーグリングを使ってアーカイブのダウンロードプロセスを模倣するXHTMLファイルを添付したメールを送信していました」とRusnák氏は説明します。「これらのアーカイブにはHTAファイルまたはLNKファイルが含まれており、mshta.exeをURL引数付きで起動して別のHTAファイルをダウンロードします。ダウンロードされたHTAファイルには、追加ペイロードを配信できる埋め込みVBScriptダウンローダー『PteroSand』が含まれています。」
キャンペーンによっては、最初にダウンロードされる.LNKファイルがコード実行バイナリmshta.exeを起動する場合や、攻撃者が運用するCloudflare生成サブドメインからペイロードをダウンロードするPowerShellコマンドを起動する場合があります。
もう一つの初期アクセス手法として、Gamaredonはすでに侵害されたシステム上で横展開のための武器化ツールを展開します。これらのツールは自分自身を接続されたUSBやネットワークドライブにコピーし、悪意のあるLNKファイルを作成して、侵害された標的がそのドライブを別の潜在的標的と共有することを狙います。
標的が侵害されると、脅威アクターはスパイ活動に移行します。ESETが詳細に述べた注目すべき例外は、ロシアのプロパガンダ拡散に特化したTelegramチャンネルへのハードコードされたリンクを開くVBScriptペイロードの存在です。
Gamaredonの新たなTTPs
ホワイトペーパーでは、Gamaredonが利用した6つの新しいツールが詳述されており、これは過去2年間よりやや少ない数です。これには、PowerShellベースの偵察ツールPteroDespair、PowerShellベースの武器化ツールPteroTickle、永続的ダウンローダーPteroGraphin、ダウンローダー/武器化ツールPteroQuark、汎用VBScriptダウンローダーPteroStew、PowerShellベースのファイル窃取/流出ツールPteroBoxが含まれます。
Rusnák氏はまた、以前の通信ツールPteroPSLoadがCloudflareトンネルを利用するようアップデートされ、Cloudflareサブドメインの背後にコマンド&コントロール(C2)インフラを隠すための広範な取り組みの一環であると説明しています。Cloudflareサブドメイン(特にトンネリングサービス)は、近年脅威アクターの間で人気の戦術となっており、CloudflareのCDNや信頼された証明書を利用できるためです。
「Cloudflare workers/tunnelsの無料プランと、Gamaredonが利用するTelegram/Telegraphのようなデッドドロップリゾルバを組み合わせることで、基本的に高速フラックスDNSのより安価なバージョンになります。なぜなら、脅威アクターはドメインを登録(および支払い)する必要がないからです」とRusnák氏はDark Readingに語ります。「また、これらのサービスは簡単にセットアップでき、APIのおかげで全てを管理するのも非常に簡単だと思われます。」
最後に、Rusnák氏はGamaredonが「ネットワークベースのブロッキングを回避する手法に多大な労力を投じている」と記しています。これは、TelegramチャンネルやC2サーバーアドレスへのアクセスに代替リンクを使用したり、サードパーティのリゾルバサイトでドメインを解決したり、他にも「埋め込みスクリプト(mshta.exe経由のHTAやwscript.exe経由のVBScript)をドロップ・実行し、一時的なテキストファイルに解決済みC2アドレスを保存する」といったやや複雑で回りくどい方法でC2アドレスを取得するなどの手法によるものです。
Rusnák氏はまた、ウクライナに対するスピアフィッシング主導の攻撃が、侵攻開始当初から継続しているにもかかわらず、成功していることを指摘しています。
「これらのスピアフィッシングキャンペーンは労力が少ないにもかかわらず、少なくともGamaredonの場合はかなり成功しているように思います」と同氏は述べています。「そうでなければ、彼らはすでに別の手法を考案し、これほど長期間同じTTPsに固執することはなかったでしょう。」