ウクライナ政府のコンピュータ緊急対応チーム(CERT-UA)は最近、UAC-0010(別名 Armageddon、Gamaredon)として知られるAPTの迅速なデータ窃取手法を明らかにした。
CERT-UAは、2023年7月13日に公開された新たな勧告(ウクライナ語)で、Gamaredonは2014年に離反してロシア連邦保安庁(FSB)に仕えるようになった、クリミアの元ウクライナ保安庁(SBU)職員で構成されていると述べた。
Gamaredonの主な目的は、ウクライナの治安部隊に対するサイバー諜報であり、情報インフラの標的に対する破壊的行為の証拠もある。
同グループは主に政府のコンピュータ、特に通信システム内の端末に感染させ、侵害されたアカウントや、メール、Telegram、WhatsApp、Signalのメッセージなど多様な手口をしばしば用いる。
また、GammaSteelのようなマルウェアを利用して30~50分以内にファイルを迅速に持ち出し、主に特定の拡張子を持つ文書に焦点を当てている。
初期感染後、被害者のコンピュータには、リムーバブルメディア上のファイルを除き、約1週間にわたり80~120個の悪性ファイルが存在する可能性がある。駆除作業中に感染ファイルが少しでも残れば、再感染する可能性は非常に高い。
Gamaredonが好む初期侵害の手法は、感染チェーンを開始するHTMまたはHTAファイルを含むアーカイブを被害者に送付することだ。
同グループは文書の窃取とリモートコマンド実行のためにPowerShellに大きく依存しており、対話型のリモートアクセスのためにAnydeskをインストールする場合もある。
Anydeskを悪用した攻撃について詳しく読む:Daggerfly APT、新たなMgBotマルウェアでアフリカの通信企業を標的に
検知を回避するため、Gamaredonは防御策に合わせて継続的に適応し、PowerShellスクリプトを用いて二要素認証を回避したり、IPアドレスを頻繁に変更したりしている。
CERT-UAの記事では、Gamaredonを効果的に検知するための侵害指標(IoC)の一覧が提供されている。
また、特に保護境界の外にあるシステム(インターネット接続にStarlink端末を使用するものを含む)についてリスクを最小化するため、ウクライナ軍関係者に対し、エンドポイント検知および脅威対応(EDTR)ソフトウェアを導入するよう促している。
この勧告は、Symantecが6月に公表した調査結果、すなわちGamaredonが2023年1月から4月にかけてウクライナへの攻撃を激化させたことを示唆する内容に続くものだ。
翻訳元: https://www.infosecurity-magazine.com/news/ukraine-exposes-gamaredons-data/
