Gamaredonキャンペーンの検出：ロシア支援のAPTグループがLNKファイルを使ってRemcosバックドアを広めウクライナを標的に

ロシア関連の Gamaredon APT ウクライナに対するサイバー攻撃作戦で悪名高いこのグループが、再びサイバー脅威の舞台に現れています。ウクライナに対するGamaredonの現在進行中の攻撃キャンペーンは、戦争関連の誘導として偽装された悪意のあるLNKファイルを利用して、 Remcos バックドアを展開し、DLLサイドローディングなどの高度な手法を適用しています。

Gamaredonグループ攻撃を検出 

The ロシア関連のハッキンググループ は世界中の組織に対する持続的な脅威であり続け、常にその戦術を洗練させて検出を回避しています。ウクライナにおける全面戦争の勃発以来、これらのAPTグループは作戦を拡大し、紛争を新しい攻撃戦略をテストする場として利用しています。一旦洗練されたこれらの手法は、モスクワの戦略目標と一致する世界的な高プロファイルのターゲットに対して解き放たれ、世界的なサイバー脅威の風景を拡大しています。この絶え間ない活動は、セキュリティ専門家が進化する敵に先んじるために信頼性の高い検出コンテンツと高度な脅威検出およびハンティングツールを求めることを余儀なくさせています。

ロシアが支援するGamaredon APT攻撃を早期に発見するために、サイバー防衛者は SOC Primeプラットフォーム に頼るかもしれません。これはAIによる検出エンジニアリング、脅威の自動ハンティング、高度な脅威検出のためのフルプロダクトスイートを提供しています。「 検出を探索 」ボタンを押すだけで、Remcosを拡散する最新のGamaredonキャンペーンに対処するために特別に用意されたSigmaルールセットに即座に深く掘り下げることができます。

検出を探索

すべてのルールは、複数のSIEM、EDR、およびデータレイク技術と互換性があり、MITRE ATT&CK®フレームワークにマッピングされており、脅威調査を効率化します。また、それぞれのルールには、CTIリンク、攻撃タイムライン、トリアージ推奨事項などを含む豊富なメタデータが付加されています。

さらに、セキュリティ専門家は、最新のCisco Talosレポートから最新のGamaredonキャンペーンに関するIOCを探索することができます。 Uncoder AI は、脅威に基づいた検出エンジニアリングのための非エージェントのプライベートAIとして機能し、これらのIOCを自動で解析し、選択したSIEMまたはEDRプラットフォームに合わせたカスタムクエリーに変換することで、迅速なIOCスイープを行うことができます。 

Uncoder AIが提供できるものは他にもたくさんあります。3月に、SOC Primeは Uncoder AIの大規模なアップグレードをリリースし、プライバシーファーストで無制限のAI LLM機能を提供し、AIとのやりとりを常に制御することができます。コードの言語を自動で検出し、簡潔な要約や詳細な意思決定ツリーを獲得し、MITRE ATT&CK® MLによるコードタグ付けと無制限のオートコンプリートで検出戦略を強化し、母国語のクエリーをAIで最適化します。 

GamaredonのTTPに対応する検出コンテンツを探してセキュリティ専門家は、そのグループの活動をレトロスペクティブに分析するために Threat Detection Marketplace を次のタグを使用して閲覧することができます。 “UAC-0010”、“Gamaredon”、“Hive0051”、“ACTINIUM”、“Primitive Bear”、“Armageddon Group”、“Aqua Blizzard”、“WINTERFLOUNDER”、“UNC530”、“Shuckworm”

Gamaredonキャンペーン分析：Remcosを拡散する最近の攻撃

ロシアの国家支援APTグループとして知られる Gamaredon Group （別名：Hive0051、 UAC-0010、または Armageddon APT）は2014年以来、ウクライナの組織に対するサイバー諜報活動を行っており、その攻撃を強化しています。 ロシアの全面的な侵攻の後、 2022年2月24日にウクライナに

Cisco Talosの研究者 は、ウクライナのユーザーを狙ったLNKファイルとして偽装された武器化された攻撃で槍型フィッシングを使用するGamaredonの継続的なキャンペーンを見つけました。2024年11月から活動している最新のグループのキャンペーンは、戦争関連のテーマを利用して、 Remcosバックドアを配信しています。正確な配信方法は不明ですが、研究者は、Gamaredonがフィッシングメールを引き続き使用していると考えており、ZIPファイルを直接添付するか、それをダウンロードするためのリンクを提供すると考えています。

注目すべきことに、最新のGamaredonの攻撃作戦で活用されたRemcos RATは、データ窃取とシステム操作のためにサイバー犯罪者によって一般的に悪用されており、ウクライナを標的とする複数のハッキング集団の敵機器の一部であり続けています。例えば、ロシアが支援するハッキンググループ UAC-0050 は、主にウクライナの国家機関に対して、フィッシング攻撃にRemcosを武器化してきました。 

Gamaredonは以前から、フィッシングキャンペーンでウクライナ侵攻のテーマを悪用することで知られており、この作戦も同じパターンに従っています。このグループは、侵攻関連のファイル名でOffice文書として偽装したZIPアーカイブ内に悪意のあるLNKファイルを配布しています。 

Gamaredonの最新キャンペーンでは、PowerShellスクリプトが難読化された悪意のあるLNKファイルを使用してRemcosバックドアをダウンロードし、実行する一方で、感染を隠すために偽装ファイルを表示します。これらのスクリプトはGet-Commandコマンドレットを使用して文字列ベースの検出を回避します。ペイロードサーバーはドイツとロシアに拠点を置き、ウクライナの被害者へのアクセスを制限します。

ZIPファイルがダウンロードされると、%TEMP%フォルダに解凍され、正規のアプリケーションが悪意のあるDLLをサイドローディングでロードします。この手法は、従来の防御を回避し、最終のRemcosペイロードを復号化し、実行します。フィッシングメールには、おそらく直接ZIP添付ファイルが含まれるか、ダウンロードのためのリンクが含まれます。

このキャンペーンは地政学的なテーマを悪用し、メタデータ分析は、これらのLNKファイルが、Gamaredonの以前の戦術と一致するわずか2台のマシンによって生成されたことを示唆しています。

最新のGamaredonキャンペーンでの高度な敵の手法の使用は、DLLサイドローディング、地理的にフェンスされたサーバー、テーマ化されたフィッシング誘導など、ウクライナを狙ったグループの継続的な努力を指し示しています。この脅威に対抗するために、組織は防御を大規模に強化することが奨励されます。 SOC Primeプラットフォーム 集団サイバー防御のための最新技術を備えたセキュリティチームを装備し、AI、自動化、リアルタイムの脅威インテリジェンスを融合して、APT攻撃や進化するサイバー脅威に対してプロアクティブに防御するのに役立ちます。