ESETが収集した証拠によると、2つのロシア国家支援型脅威アクターが、最近のウクライナの標的に対するサイバー攻撃で協力していることが判明しました。
具体的には、同社は2025年2月から4月の間に、Gamaredonが展開したツールが、ウクライナの特定の被害者のシステム上でTurlaのマルウェアを再起動・展開するために使用されていたことを発見しました。
Turla(別名:Krypton、Snake、Venomous Bear、Waterbug)は、少なくとも2004年から活動しており、ヨーロッパ、中央アジア、中東の外交官や政府機関など、重要な標的に焦点を当てています。
Gamaredon(別名:Armageddon、BlueAlpha、Blue Otso、Callisto、Iron Tilden、Primitive Bear、Sector C08、Winterflounder)は、少なくとも2013年から活動しており、主にウクライナの個人や組織を標的としています。
Gamaredonは、ウクライナの組織に対して数千件の侵入を行ってきたと考えられています。今年、侵害された4台のマシンで、ESETは、APTのツールがTurlaのインプラントにコマンドを発行し、展開するために使用されていたことを発見しました。
2025年2月には、GamaredonのPteroGraphinツールが、TurlaのKazuarスパイウェアインプラントを再起動するためのリカバリ手段として使用されていました。おそらくクラッシュ後の再起動と考えられます。4月には、GamaredonのPteroOddとPteroPasteがKazuar v2インストーラーの展開に使われていました。
「これ以前にウクライナでTurlaの侵害を検知したのは2024年2月が最後でした。これらすべての要素、そしてGamaredonが数百から数千台のマシンを侵害しているという事実から、Turlaは特定のマシン、恐らく高度に機密性の高い情報を含むマシンのみに関心があることが示唆されます」とESETは述べています。
サイバーセキュリティ企業は、2つの国家支援グループが協力していると強く確信しています。TurlaがGamaredonの感染チェーンを再現してそのツールを悪用した可能性や、GamaredonがKazuarにアクセスできる可能性は低いとしています。
広告。スクロールして続きをお読みください。
さらにESETは、両作戦ともロシアの情報機関FSBの職員によって運営されていると指摘しています。ただし、Gamaredonはセンター18(クリミアの情報セキュリティセンター)、Turlaはセンター16(ロシアの主要な信号情報機関)に関連付けられています。
「組織的な観点から見ると、TurlaとGamaredonに関連する2つの組織は、冷戦時代までさかのぼる長い協力の歴史が報告されています」とESETは述べています。
関連記事: 米国、ロシアのエネルギー企業ハッカー3名に1000万ドルの報奨金
関連記事: アマゾン、Microsoftユーザーを標的としたロシアのハッキングキャンペーンを妨害
翻訳元: https://www.securityweek.com/turla-and-gamaredon-working-together-in-fresh-ukrainian-intrusions/