記事本文(要約)
ロシア関連の脅威グループGamaredon(別名Shuckworm)は、ウクライナに拠点を置く外国の軍事ミッションを標的としたサイバー攻撃を行い、既知のマルウェアGammaSteelの更新版を配布しようとしました。この攻撃は、感染したリムーバブルドライブを初期感染手段として使用し、Windows Registryに値を作成してから「mshta.exe」を「explorer.exe」で起動することで、複数段階の感染プロセスを開始しました。
最初のファイル「NTUSER.DAT.TMContainer00000000000000000001.regtrans-ms」は、Teletype、Telegram、Telegraphなどの正当なサービスに関連するURLにアクセスしてC2サーバーと通信を確立します。二つ目のファイル「NTUSER.DAT.TMContainer00000000000000000002.regtrans-ms」は、リムーバブルドライブやネットワークドライブを感染させるよう設計されており、フォルダごとにショートカットファイルを作成して「mshta.exe」を実行し、隠します。
この攻撃は、3月1日からC2サーバーに接続してシステムメタデータを抽出し、Base64エンコードされたペイロードを受け取り、その後PowerShellコマンドを実行してスクリプトの新バージョンをダウンロードします。このスクリプトは、ハードコードされたC2サーバーに接続して新たに2つのPowerShellスクリプトを取得します。最初のスクリプトはシステム情報を収集し、2番目は情報窃取ツールのGammaSteelの改良版で、DesktopとDocumentsフォルダからファイルを抽出します。
Symantecは、「この攻撃は、比較的技術力に欠けるShuckwormが、ウクライナの標的に対する執拗な集中を補完するためにソフトウェアの微細な変更や難読化を行い、検出リスクを低下させるための試みを示している」と述べています。
※この要約はChatGPTを使用して生成されました。
公開日: Thu, 10 Apr 2025 16:23:00 +0530
Original URL: https://thehackernews.com/2025/04/gamaredon-uses-infected-removable.html
詳細な技術情報
- 脆弱性の仕組み
- 攻撃の主な脆弱性は、感染したリムーバブルドライブを用いた物理的なアクセスの脆弱性にあります。また、Windowsシステムの「mshta.exe」を利用したマルチステージ感染チェーンの開始や、正規のウェブサービスを利用したC2通信も脆弱性の一環です。
- 攻撃手法
- 1. 初期感染:感染したリムーバブルドライブを使用。
- 2. レジストリの変更:WindowsレジストリのUserAssistキーに値を作成。
- 3. 感染チェーンの開始:「explorer.exe」で「mshta.exe」を起動し、感染を拡大。
- 4. ファイルによる通信:「NTUSER.DAT.TMContainer00000000000000000001.regtrans-ms」でC2と通信。
- 5. ドライブ感染:「NTUSER.DAT.TMContainer00000000000000000002.regtrans-ms」でリムーバブルドライブを感染。
- 6. 持続的通信:C2サーバーと接触し、Base64エンコードされたペイロードを受信し、PowerShellコマンドを実行。
- 潜在的な影響
- 機密情報の漏洩:デスクトップやドキュメントフォルダから特定のファイルが盗まれるリスク。
- システム情報の収集:スクリーンショットやセキュリティソフトの情報収集。
- ネットワーク全体への感染拡大:ネットワークドライブを通じた感染拡大の可能性。
- 無許可のアクセスと操作:C2サーバーを介した遠隔操作と持続的なアクセス。
- 推奨される対策
- 1. 物理的なアクセス制限:リムーバブルメディアの使用を制限し、許可されたデバイスのみの使用を促進。
- 2. 振る舞いベースの検知:不正なPowerShellコマンドやmshta.exeの異常な使用を監視。
- 3. ネットワークセキュリティの強化:未知のC2通信をブロックし、正規のサービスを利用した通信も疑わしい場合は監視。
- 4. 定期的なセキュリティパッチの適用:最新のセキュリティ更新を適用し、既知の脆弱性を早急に修正。
- 5. ユーザー教育と意識向上:フィッシング攻撃やソーシャルエンジニアリングの手口についての教育を実施。
