SOC Prime Bias: 重大

30 Jun 2026 07:05 UTC

2025年におけるGamaredon: トンネル、労働者、デッドドロップ、新たな同盟

Author Photo
SOC Prime Team linkedin icon フォローする
2025年におけるGamaredon: トンネル、労働者、デッドドロップ、新たな同盟
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

概要

Gamaredonというロシアに関連するAPTグループは、2025年に合法的なサードパーティサービスを悪用してコマンドアンドコントロールのインフラストラクチャとデータ盗難活動を隠す形でさらに作戦を適応させました。グループはトンネル、ワーカー、デッドドロッププラットフォーム(TelegramやDropboxなど)に依存して悪意のあるトラフィックを隠しています。また、新しいPowerShellベースのツールを導入し、ファイルスティーラーをアップデートしてS3互換のクラウドストレージへの送信をサポートしています。

調査

ESET Researchは2025年のGamaredonの作戦をレビューし、HTMLスミアリング技術と組み合わせたより大規模なスピアフィッシングキャンペーンへのシフトを観察しました。調査では、新しい配信ツール、Cloudflareワーカーとトンネルの利用増加、デッドドロップリゾルバへの継続的な依存を特定しました。研究者はまた、Turlaを含む他のロシアに関連するアクターとの協力を記録しました。

緩和策

防御者はクラウドストレージプラットフォームとサーバーレスサービスへの異常なアウトバウンド接続を監視するべきです。HTAおよびVBScriptの実行に対する厳しい制御を実施することで、感染の初期段階をブロックするのに役立ちます。動的DNSサービスの乱用や一般的に使用されるデッドドロッププラットフォームの監視も推奨されます。

対応策

Gamaredonの活動が検出された場合、影響を受けたシステムは、武器化されたUSBデバイスやネットワーク共有を通じてさらなる移動を防ぐために即座に隔離されるべきです。調査者はクラウドストレージアカウントへの不正アクセスを全て調査する必要があります。グループに関連する既知のトンネルおよびワーカーサービスへの接続についてもテレメトリを確認する必要があります。

攻撃フロー

検出結果

サードパーティのサービス/ツールを経由したデータの流入/流出/ C2の可能性 (via cmdline)

SOC Primeチーム
2026年6月29日

サードパーティのサービス/ツールを経由したデータの流入/流出/ C2の可能性 (via dns_query)

SOC Primeチーム
2026年6月29日

ネットワーク接続を経由した既知の悪用ウェブサービスへの疑わしいプロセスのDNSクエリ

SOC Primeチーム
2026年6月29日

C2チャネルとしてのVisual Studio Code APIの乱用の可能性 (via dns_query)

SOC Primeチーム
2026年6月29日

C2チャネルとしてのVisual Studio Code APIの乱用の可能性 (via proxy)

SOC Primeチーム
2026年6月29日

dnsを経由した疑わしいTrycloudflareドメイン通信

SOC Primeチーム
2026年6月29日

オートスタート位置にある疑わしいバイナリ/スクリプト (via file_event)

SOC Primeチーム
2026年6月29日

ファイルイベントを経由したCVE-2025-8088 / CVE-2025-6218 (WinRAR脆弱性)の攻撃試行の可能性

SOC Primeチーム
2026年6月29日

dns_queryを経由したコマンドアンドコントロールチャネルとしてのTelegramの乱用の可能性

SOC Primeチーム
2026年6月29日

PteroSetupとWinRAR CVE-2025-8088攻撃の検出 [Windowsプロセス作成]

SOC Prime AIルール
2026年6月29日

GamaredonのPowerShellダウンローダーの検出 [Windows Powershell]

SOC Prime AIルール
2026年6月29日

シミュレーション実行

前提条件: テレメトリとベースラインの事前チェックが通過していること。

根拠: このセクションは、検出ルールをトリガーするために設計された敵対者技術(TTP)の正確な実行を詳述します。コマンドとナラティブは特定されたTTPを直接反映し、検出ロジックで期待される正確なテレメトリを生成することを目的としています。抽象的または無関係な例は誤診につながります。

  • 攻撃のナラティブとコマンド: 敵対者は、二次段階のペイロードをダウンロードして足場を確立することを目的としています。基本的なシグネチャベースのツールによる検出を避けるために、彼らは特定のダウンローダーモジュールを使用するのが一般的です。このシミュレーションでは、まず「検出可能」なバージョンを実行してルールが機能することを確認し、次に「難読化された」バージョンを実行してルールの弱点を示します。目標は、 クラウド上のファイルからC2指示を取得するモジュールPteroDeeをシミュレーション実行 モジュールがクラウドにホスティングされたファイルからC2指示を取得することをシミュレーションすることです。

  • リグレッションテストスクリプト:

    # --- PART 1: 成功した検出(「騒がしい」攻撃) ---
    Write-Host "[+] 検出可能なコマンドを実行中..."
    powershell.exe -ExecutionPolicy Bypass -Command "& {Write-Host 'PteroDeeダウンローダーを初期化中...'; Start-Sleep -s 2}"
    
    # --- PART 2: 回避テスト(「ステルシー」な攻撃) ---
    # これにより、攻撃者が文字列の連結を使用してルールを回避する方法をデモンストレーションします
    Write-Host "[+] 難読化されたコマンドを実行中(回避)..."
    $part1 = "Ptero"
    $part2 = "Dee"
    $cmd = "& {Write-Host 'Initializing ' + '$part1' + '$part2' + ' downloader...'; Start-Sleep -s 2}"
    powershell.exe -ExecutionPolicy Bypass -Command $cmd
    
    Write-Host "[+] シミュレーション完了。"
  • クリーンアップコマンド:

    # システムに永続的な変更はありません。
    # 単に現在のセッションのPowerShell履歴をクリアします。
    Clear-History