ロシアのハッキング・グループ Gamaredon:標的はウクライナの西側政府組織

Russian Gamaredon Hackers Targeted ‘Western Government Entity’ in Ukraine

2022/02/04 TheHackerNews — 先月に、ロシアのハッキング・グループ Gamaredon は、ウクライナで活動する欧米政府機関への侵入を試みましたが、それは両国間の緊張が続く中でのことだった。Palo Alto Networks 脅威インテリジェンス・チーム Unit 42 は、2月3日に公開した新しいレポートの中で、「このフィッシング攻撃は 1月19日に行われたと述べ、別のフィッシングやマルウェアをサポートするために使用されている、彼らのインフラの3つの大規模なクラスターをマッピングした 」と付け加えている。

おいて2013年以降に、この Shuckworm/Armageddon/Primitive Bear とも呼ばれる脅威アクターは、ウクライナ政府の関係者や組織に対してサイバー攻撃を仕掛けてきた。そして、昨年にウクライナは、このグループがロシア連邦保安局 (FSB) とつながっていることを公表した。

今回のフィッシング攻撃で、キャンペーンの背後にいるオペレーターは、標的に関連するアクティブな求人情報の履歴書の形で、マルウェア・ダウンローダーをアップロードさせる導線として、国内の求人検索および雇用プラットフォームを活用した。

研究者たちは、「Gamaredon によるキャンペーンの手順や配信の精度を考えると、欧米の政府組織を危険にさらすための、意図的な試みを行われたと考えられる」と指摘している。

さらに、2021年12月1日に Unit 42 は、ウクライナの State Migration Service (SMS) を標的とした、Gamaredon キャンペーンの証拠を発見した。このキャンペーンでは、感染させたコンピュータへのリモートアクセスを維持するために、オープンソースの UltraVNC をインストールし、Word 文書をルアーとして使用した。

研究者たちは、「Gamaredon の実行犯は、インフラの構築と維持に関して、興味深いアプローチを追求している。ほとんどのアクターは、帰属の足跡を消すために、サイバー・キャンペーンで使用したドメインの廃棄を選択する。しかし、Gamaredon のアプローチは、新しいインフラで一貫してドメインを回転させることで、再利用しているように見える点がユニークだ」と述べている。

この攻撃インフラは、700 以上の不正なドメイン、215 の IP アドレス、100以上のマルウェア・サンプルに及んでいる。そして、開くと悪意のコードが実行されるように設計された文書のホスティングや、リモートアクセス・トロイの木馬 Pterodo (別名Pteranodon) の Command and Control サーバーとして使用される、複数のクラスターが存在している。

Broadcom 傘下の Symantec が、2021年7月から8月にかけて、このグループがウクライナの組織を標的とし、Pterodo RAT を展開するという攻撃の詳細を明らかにしてから、1週間も経たないうち、今回の調査結果は公表されている。

Gamaredon については、先ほどの「ウクライナを標的とするロシアのハッキング・キャンペーン:Microsoft が詳細を公表」と重複しますが、こちらは Palo Alto Networks Unit 42 の分析となります。700 以上の不正なドメイン/215 の IP アドレス/100以上のマルウェアという、かなり強力なインフラを持っているようです。よろしければ、ウクライナで検索も、ご利用ください。

%d bloggers like this: