ロシアの Gamaredon はウクライナを狙い続ける:永続性を維持する APT の仕組みとは?

Russian Gamaredon APT continues to target Ukraine

2022/04/20 SecurityAffairs — ロシアに帰属する Gamaredon APT グループ (別名:Armageddon/Primitive Bear/ACTINIUM) は、ウクライナをターゲットにした攻撃を続けており、カスタムな Pterodo バックドア (別名:Pteranodon) の亜種を用いているとのことだ。2021年10月以降に発生している、ウクライナの団体や関連組織を標的とした一連のスピアフィッシング攻撃の背後に、このサイバースパイ・グループが存在すると Microsoftは述べている。なお、2014年ころから Gamaredon は、ウクライナに対するサイバースパイ・キャンペーンを展開している。

Symantec の研究者たちは、この APT グループの最近の攻撃では、カスタム・バックドア Pteredo をベースにした、少なくとも4つの亜種を使用されている明らかにしている。

Pteranodon は、機密情報の収集や、侵害したマシンへのアクセス維持などのために、設計された多段式バックドアである。また、その配布方法は、標的をおびき寄せるために兵器化された、Office ドキュメントを使ったスピアフィッシング・メッセージを介したものとなる。

最近における Gamaredon 起因の攻撃は、標的としたシステム上に複数のマルウェアのペイロードを展開する点が特徴となっている。これらのペイロードは、通常は Backdoor.Pterodo の亜種群であり、類似したタスクを実行するように設計されている。研究者たちは、それぞれの亜種が別の Command and Contorl (C&C) サーバと通信することを指摘している。

Symantec は、「複数の亜種を使用する理由として、最も可能性が高いのは、感染させたコンピュータ上で持続性を維持するための、基本的な方法を提供するためだろう。もし、いずれかのペイロードや C&C サーバが検知/ブロックされた場合には、他のペイロードへと退却し、それを補うための別の亜種を展開できる」と分析している。つまり、感染したシステム上で永続性を確立し、セキュリティ企業や政府専門家が実施するテイクダウン作業に対応するために、この攻撃者は、複数の異なるペイロードを使用していると考えられる。

この攻撃で採用された Pterodo の亜種は、難読化された VBScripts を含む自己展開型アーカイブを修正したものであり、ドロッパーとして機能する。このバックドアは、C&C サーバから追加のペイロードをダウンロードする前に、スケジュールされたタスクを追加することで、その永続性を実現している。

以下は、専門家が分析した Gamaredon バックドアの4つの亜種である。

  • Backdoor.Pterodo.B:この亜種は、7-Zip で解凍可能なリソースに難読化された VBScripts を取り込んだ、自己解凍型アーカイブを修正したものである。
  • Backdoor.Pterodo.C:この亜種も、感染したコンピュータ上に VBScripts をドロップするよう設計されている。 実行されると、まず API ハンミングを行い、意味のない API コールを何回か実行する。おそらく、サンドボックス検出を回避するための試みと思われる。
  • Backdoor.Pterodo.D:もう1つの VBScript ドロッパーである。
  • Backdoor.Pterodo.E:最後の亜種は、亜種 B/C と機能的には極めて似ており、ユーザーのホーム・ディレクトリに2つの VBScript ファイルを抽出する前に、徹底的な API 攻撃を実施する。スクリプトの難読化は、他の亜種に極めて類似している。

    この国家的なハッカーは、リモート管理/RDP ユーティリティの UltraVNC などの、他のツールも使用している。また、Gamaredon APT は、人気の Microsoft Sysinternals Process Explorer ツールを使用することも確認されている。

    このキャンペーンについては、IoC (indicators of compromise) を含むレポートが提供されている。そこには、「Shuckworm は、戦術的に最も洗練されたスパイ集団とは言えないが、ウクライナの組織を執拗に狙う集中力と執念で、それを補っている。Pterodo は、検知を防ぐために、攻撃者により継続的に再開発されているようだ」と記されている。

先ほど、「Anonymous のロシア攻撃:軍事/金融/エネルギーなどのメールを大量にリーク」という記事をポストしたところですが、 物理的な戦闘と同様に、この領域での戦いも長期化しています。ウクライナ侵攻との関連性はわかりませんが、4月14日の「風力発電機大手の Nordex が Conti ランサムウェアの攻撃に遭っている」などは、結果的にロシア政府を支援するインシデントとなります。ロシアとウクライナだけではなく、世界規模で膨大な経済損失が生じていることは確かでしょう。

%d bloggers like this: