ウクライナのコンピュータ緊急対応チーム(CERT-UA)は、ガマレドンのハッキングは迅速な攻撃で行われ、侵害されたシステムから1時間以内にデータを盗むと警告している。
ガマレドン (別名ハルマゲドン、UAC-0010、シャックワーム) は、 ロシアの国営サイバースパイ ハッキング グループで、サイバーセキュリティ研究者が FSB (ロシア連邦保安局) と連携しており、メンバーにはロシアに亡命した元 SSU 職員が含まれています。 2014年に。
ロシアの侵攻が始まって以来、この脅威アクターは、ウクライナ政府や他の重要な官民組織に対する数千件の攻撃に関与していると考えられている。
これらの攻撃によるデータの蓄積により、CERT-UA はグループの攻撃の概要を把握できるようになり、防御側がネットワーク侵入の試みを検出して阻止できるようにその情報を共有しています。
ガマレドンの攻撃特性
Gamaredon 攻撃は通常、Telegram、WhatsApp、Signal、またはその他の IM アプリを介してターゲットに送信される電子メールまたはメッセージから始まります。
最初の感染は、被害者をだまして Microsoft Word や Excel ドキュメントに見せかけた HTM、HTA、LNK ファイルなどの悪意のある添付ファイルを開かせることで実現されます。
被害者が悪意のある添付ファイルを起動すると、PowerShell スクリプトとマルウェア(通常は「GammaSteel」) がダウンロードされ、被害者のデバイスで実行されます。
また、最初の感染ステップではMicrosoft Office Word テンプレートも変更され、感染したコンピュータ上で作成されたすべてのドキュメントに Gamaredon のマルウェアを他のシステムに拡散させる可能性のある悪意のあるマクロが組み込まれます。
PowerShell スクリプトは、セッション データを含むブラウザー Cookie をターゲットにし、ハッカーが 2 要素認証で保護されたオンライン アカウントを乗っ取ることを可能にします。
GammaSteel の機能に関して、CERT-UA は、.doc、.docx、.xls、.xlsx、.rtf、.odt、.txt、.jpg、.jpeg、.pdf、などの指定された拡張子のリストを持つファイルをターゲットにしていると述べています。 .ps1、.rar、.zip、.7z、.mdb。
攻撃者が侵害されたコンピューター上で見つかった文書に興味がある場合、30 ~ 50 分以内に文書を持ち出します。
Gamaredon 感染のもう 1 つの興味深い側面は、脅威アクターが再感染の可能性を高めるために、侵害されたシステムに毎週 120 もの悪意のある感染ファイルを植え付けることです。
「駆除プロセス中に、オペレーティング システムのレジストリのクリーニング、ファイルの削除、スケジュールされたタスクなどを行った後、少なくとも 1 つの感染したファイルまたはドキュメントがコンピュータ上に残っている場合(非常に多くの場合、ユーザーは確認せずに OS を再インストールし、「必要な」ドキュメントを転送します) )、その場合、コンピュータは再び感染する可能性があります。」 CERT-UAの説明 (機械翻訳)。
感染したコンピュータのポートに挿入されたUSB スティックも、Gamaredon の最初の侵害ペイロードに自動的に感染し、隔離されたネットワークへの侵害がさらに進む可能性があります。
最後に、ハッカーは中間被害者のコマンド アンド コントロール サーバーの IP アドレスを毎日 3 ~ 6 回変更するため、防御側がその活動をブロックしたり追跡したりすることが困難になります。
現時点で CERT-UA は、Gamaredon 攻撃の有効性を制限する最善の方法は、mshta.exe、wscript.exe、cscript.exe、powershell.exe の不正な実行をブロックまたは制限することだと述べています。
Comments