フォローする 
概要
レポートは、ウクライナ政府および重要なインフラストラクチャ環境内で長期的なアクセスを維持するために使用される、ロシア国家支援のGamaredonグループによる多段階ローダーフレームワークを概説しています。ローダーは正当なクラウドプラットフォームとメッセージングサービスを通じて配信され、Windowsレジストリにコマンド&コントロールの詳細を保存し、代替データストリームやスケジュールされたタスクに依存して後のペイロードをトリガーします。
調査
Sekoia.ioは、Telegram、Telegraph、Check-Hostといったサービスでホストされているデッドドロップリゾルバから追加コードを取得するVBScriptベースの3つのローダーステージを再構築しました。第二段階では、ペイロードを %TEMP% 内のADS(代替データストリーム)に書き込み、スケジュールされたタスクを作成し、第三段階では隠れたPowerShellプロセスを起動して最終のGammaSteelステーラーモジュールをダウンロードして実行します。
緩和策
防御者は、 HKCUConsoleでの疑わしいレジストリ書き込み、 DsSvcCleanupという名前の予期しないスケジュールタスク、 %TEMP%での代替データストリームの異常な使用、既知のCloudflare、Telegram、およびCheck-Hostドメインへのネットワークトラフィックを監視する必要があります。エンコードされたコマンドに依存する未署名のVBScriptおよびPowerShellスクリプトの実行もブロックまたは厳しく制限されるべきです。
対応
侵害が検出された場合、影響を受けたホストを即座に隔離し、関連するレジストリキーとスケジュールタスクの定義を収集し、ADS関連ファイルを保存し、特定されたコマンド&コントロールドメインおよびIPアドレスをブロックします。フォレンジックイメージングを実行し、GammaSteel ステーラーをメモリ上およびディスク上でハントします。
"graph TB %% Class Definitions classDef technique fill:#99ccff classDef operator fill:#ff9900 classDef tool fill:#cccccc %% Node definitions initial_driveby["<b>Technique</b> – <b>T1189 Driveu2011by Compromise</b><br/><b>Description</b>: Compromise a website to deliver malicious content when a user visits."] class initial_driveby technique c2_deadDrop["<b>Technique</b> – <b>T1102.001 Web Service Dead Drop Resolver</b><br/><b>Description</b>: Use legitimate web services to exchange command and control data."] class c2_deadDrop technique c2_dynamic["<b>Technique</b> – <b>T1568 Dynamic Resolution</b><br/><b>Description</b>: Resolve C2 addresses dynamically to evade detection."] class c2_dynamic technique execution_vbscript["<b>Technique</b> – <b>T1216.002 System Script Proxy Execution VBScript</b><br/><b>Description</b>: Execute malicious VBScript via system script proxy."] class execution_vbscript technique persistence_task["<b>Technique</b> – <b>T1053.005 Scheduled Task</b><br/><b>Description</b>: Create a scheduled task to maintain persistence."] class persistence_task technique priv_esc_reflect["<b>Technique</b> – <b>T1620 Reflective Code Loading PowerShell</b><br/><b>Description</b>: Load malicious code reflectively in memory using PowerShell."] class priv_esc_reflect technique propagation_usb["<b>Technique</b> – <b>T1091 Replication Through Removable Media</b><br/><b>Description</b>: Copy malicious files to USB drives for propagation."] class propagation_usb technique %% Connections showing attack flow initial_driveby –>|leads to| c2_deadDrop c2_deadDrop –>|uses| c2_dynamic c2_dynamic –>|enables| execution_vbscript execution_vbscript –>|establishes| persistence_task persistence_task –>|facilitates| priv_esc_reflect execution_vbscript –>|enables| propagation_usb "
攻撃フロー
検出
隠されたPowerShellコマンドラインを通じた実行の可能性(cmdline経由)
表示
PowerShellからの疑わしい.NETメソッドの呼び出し(powershell経由)
表示
LOLBAS WScript / CScript(process_creation経由)
表示
コマンド&コントロールチャネルとしてのTelegramの悪用の可能性(dns_query経由)
表示
疑わしいTrycloudflareドメイン通信(dns経由)
表示
Cloudflare開発ドメインの悪用の可能性(dns経由)
表示
検出対象IOCs(HashMd5):FSBのマトリョーシカ #2/3 – Gamaredonのギフトは解凍を続ける – GammaLoad
表示
検出対象IOCs(SourceIP):FSBのマトリョーシカ #2/3 – Gamaredonのギフトは解凍を続ける – GammaLoad
表示
検出対象IOCs(DestinationIP):FSBのマトリョーシカ #2/3 – Gamaredonのギフトは解凍を続ける – GammaLoad
表示
Gamaredon PowerShellインメモリ実行検出【Windows Powershell】
表示
Gamaredon C2 URL更新のレジストリ検出【Windows Registry Event】
表示
シミュレーション実行
前提条件:テレメトリおよびベースラインの準備飛行チェックが成功している必要があります。
理由:このセクションでは、検出ルールをトリガーするために設計された敵の技術(TTP)の正確な実行を詳述します。コマンドと説明は、特定されたTTPに直接反映され、検出ロジックによって期待される正確なテレメトリを生成することを目的としています。
-
攻撃のストーリーとコマンド:
脅威アクターは、ユーザーのセッションを侵害した後、将来のビーコンが新しいサーバーに到達するようにC2エンドポイントを更新する必要があります。Gamaredonは、HKCUConsoleにあるよく知られたレジストリキーにURLを保存します。攻撃者はネイティブPowerShell(Set-ItemProperty)を使用して新しいURLを書き込み、サードパーティのツールを使用せず、「生活を利用する」状態を維持します。このアクションは、フルパスを持つ レジストリ値セット イベント(EventID 13)を生成し、SigmaルールのRegistryPath|containsフィルターに一致します。# シミュレートされたGamaredon C2 URL更新 - 監視対象のキーへの書き込み $c2Url = "https://c2.gamaredon.example.com/payload" $targetKey = "HKCU:ConsoleHistoryURL" New-Item -Path $targetKey -Force | Out-Null Set-ItemProperty -Path $targetKey -Name "URL" -Value $c2Url -
リグレッションテストスクリプト: (PowerShell – 自己完結型)
<# GamaredonのC2 URL更新を、Sigmaルールによって監視されているレジストリキーにシミュレートします。 #> # パラメータ(必要に応じて調整) $c2Url = "https://c2.gamaredon.example.com/payload" $regPath = "HKCU:ConsoleHistoryURL" $valueName = "URL" # キーが存在することを確認する if (-not (Test-Path $regPath)) { New-Item -Path $regPath -Force | Out-Null } # 悪意のあるC2 URLを書き込み Set-ItemProperty -Path $regPath -Name $valueName -Value $c2Url Write-Host "[*] C2 URLを$regPath$valueNameに書き込みました" -
クリーンアップコマンド: (PowerShell)
# シミュレートされたキー/値を削除してシステムをクリーンに保つ $regPath = "HKCU:ConsoleHistoryURL" if (Test-Path $regPath) { Remove-ItemProperty -Path $regPath -Name "URL" -ErrorAction SilentlyContinue # キー全体を削除することもできます Remove-Item -Path $regPath -Recurse -Force -ErrorAction SilentlyContinue Write-Host "[*] シミュレートされたレジストリアーティファクトをクリーンアップしました。"}