- Cisco Talos では、ウクライナのユーザーを標的にした、遅くとも 2024 年 11 月から続いている攻撃を積極的に追跡しています。この攻撃では、PowerShell ダウンローダーを実行する悪意のある LNK ファイルが使用されています。
- 誘い込みの手口として、ウクライナでの軍の動きに関するロシア語の単語が LNK ファイル名に使用されています。
- PowerShell ダウンローダーは、ロシアとドイツにあるジオフェンスサーバーに接続し、第 2 段階の ZIP ファイルをダウンロードします。ZIP には、Remcos バックドアが含まれています。
- この第 2 段階のペイロードは、DLL サイドローディングを使用して Remcos ペイロードを実行します。
- Talos は、この攻撃が Gamaredon 攻撃グループに関連していることをある程度確信しています。
ウクライナ侵攻をテーマにしたフィッシング攻撃
Gamaredon グループのフィッシング攻撃で使用される共通のテーマは、ウクライナ侵攻です。今回の攻撃でも、この手法が引き続き使用されています。同攻撃グループは、ZIP アーカイブに圧縮した LNK ファイルを配布しますが、通常は、Office 文書として偽装し、ウクライナ侵攻に関連したファイル名を使用します。
ファイルの配布方法までは正確に特定できていませんが、フィッシングメールに直接 ZIP ファイルを添付して送信しているか、リモートホストからファイルをダウンロードするための URL リンクをメールに記載しているかのどちらかだと考えられます。
以下は、この攻撃で使用されているファイル名の例です。
| 元のファイル名 | 翻訳したファイル名 |
| 3079807576 (Шашило О.В)/ШАШИЛО Олександр Віталійович.docx.lnk | 3079807576(シャシロ O.V)/シャシロ・オレクサンドル・ヴィタリヨビッチ.docx.lnk |
| 3151721177 (Рибак С.В)/РИБАК Станіслав Вікторович.docx.lnk | 3151721177(ライバク S.V)/ライバク・スタニスラフ・ヴィクトロヴィッチ.docx.lnk |
| 3407607951 (Жолоб В.В)/ЖОЛОБ Владислав Вікторович.docx.lnk | 3407607951(ゾロブ V.V)/ゾロブ・ウラジスラフ・ヴィクトロヴィッチ.docx.lnk |
| 3710407173 (Гур’єв П.А)/ГУР’ЄВ Павло Андрійович.docx.lnk | 3710407173(グルエフ P.A)/グルエフ・パブロ・アンドリヨヴィッチ.docx.lnk |
| Вероятное расположение узлов связи, установок РЭБ и расчетов БПЛА противника. ЮГ КРАСНОАРМЕЙСКА.docx.lnk | 通信ノード、電子戦装置、敵の無人航空機の推定位置の計算。赤軍の南.docx.lnk |
| ГУР’ЄВ Павло Андрійович.docx.lnk | グルエフ・パブロ・アンドリヨヴィッチ.docx.lnk |
| Координаты взлетов противника за 8 дней (Красноармейск).xlsx.lnk | 8 日間の敵の離陸座標(クラスノアルメイスク).xlsx.lnk |
| Позиции противника запад и юго-запад.xlsx.lnk | 西と南西の敵の位置.xlsx.lnk |
| РИБАК Станіслав Вікторович.docx.lnk | ライバク・スタニスラフ・ヴィクトロヴィッチ.docx.lnk |
| ШАШИЛО Олександр Віталійович.docx.lnk | シャシロ・オレクサンドル・ヴィタリヨビッチ.docx.lnk |
翻訳したファイル名から、この攻撃では戦争に関連したテーマを使用する意図が見て取れます。ロシアまたはウクライナの諜報員の名前や、紛争地域における軍の動きを示唆する内容がファイル名に使用されています。
これらのファイルのメタデータを見ると、悪意のあるショートカットファイルの作成に使用されたマシンは 2 台だけのようです。以前のブログで紹介したように、Gamaredon は攻撃に使用する LNK ファイルを作成する際に、限られた数のマシンを使用する傾向があります。そして、この攻撃で使用されたマシンは、この脅威グループに関連したインシデントにおいて Talos が過去に確認したものと一致しています。
LNK ファイルには、次の段階のペイロードをダウンロードして実行するために使用される PowerShell コードのほか、侵害を偽装するために感染後にユーザーに表示されるおとりファイルが含まれています。
PowerShell コードは、Get-Command コマンドレットにより間接的に関数を実行し、ペイロードをダウンロードして実行します。こうすることで、ウイルス対策ソリューションの文字列ベースの検出を回避しようとしていると考えられます。
この攻撃で使用されるサーバーはドイツとロシアにあります。Talos が調査した時点では、ペイロードファイルをダウンロードしようとすると、そのすべてから HTTP 403 エラーが返ってきました。
これは、ファイルがオフラインになっていたか、ファイルへのアクセスが制限されていることを示しています。Gamaredon は、ペイロードサーバーへのアクセスをウクライナ国内にいる被害者に限定することが過去の調査でわかっています。公開されているサンプルデータベースを調べたところ、これらのサーバーが特定地域向けにファイルをホストしていながら、Talos のテストではアクセス拒否エラーを返している証拠が見つかりました。たとえば、一般に公開されている「Any.run」サンドボックスの下記のサンプルなどです。
攻撃に関連したネットワーク インフラストラクチャ
この攻撃で使用されるサーバーは、主に GTHost と HyperHosting の 2 つのインターネット サービス プロバイダー(ISP)でホストされています。
| IP | ASN | ISP |
| 146[.]185[.]233[.]96 | 63023 | gthost |
| 146[.]185[.]233[.]101 | 63023 | gthost |
| 146[.]185[.]239[.]45 | 63023 | gthost |
| 80[.]66[.]79[.]91 | 60602 | hyperhosting |
| 80[.]66[.]79[.]195 | 60602 | hyperhosting |
| 81[.]19[.]131[.]95 | 63023 | ispipoceanllc |
| 80[.]66[.]79[.]159 | 60602 | hyperhosting |
| 80[.]66[.]79[.]200 | 60602 | hyperhosting |
| 80[.]66[.]79[.]155 | 60602 | hyperhosting |
| 146[.]185[.]239[.]51 | 63023 | gthost |
| 146[.]185[.]233[.]90 | 63023 | gthost |
| 146[.]185[.]233[.]97 | 63023 | gthost |
| 146[.]185[.]233[.]98 | 63023 | gthost |
| 146[.]185[.]239[.]47 | 63023 | gthost |
| 146[.]185[.]239[.]56 | 63023 | gthost |
| 146[.]185[.]239[.]33 | 63023 | gthost |
| 146[.]185[.]239[.]60 | 63023 | gthost |
これらのサーバーは、ペイロードとおとり文書の配布に使用されていますが、Talos は少なくとも 1 つのサーバーが Remcos バックドアのコマンドアンドコントロール(C2)サーバーとして使用されていた証拠を見つけました。
また、サーバーによっては、DNS 解決において注目に値するアーティファクトが残っていることもあります。これらのサーバーとの通信はすべて IP アドレス経由で直接行われていますが、一部の IP の逆引き DNS レコードには無効なエントリが含まれており、下図に示すように非常に特徴的です。
図:Gamaredon の攻撃で見られる逆引き DNS 解決。Crime Mapper
(@UK_Daniel_Card 提供)を使用してモデル化
このことは、必ずしも攻撃者がこれらのレコードを手動で変更したことを意味するものではありませんが、この攻撃に関連する他のサーバーの特徴に一致する IP を少なくとも他に 2 つ発見するのに役立ちました。
Remcos バックドアのロードに使用される DLL サイドローディング
以前から Gamaredon はカスタムのスクリプトとツールを攻撃チェーンで使用することで知られていましたが、Talos は代替ツールとして Remcos バックドアが攻撃に使用されたことを確認しました。
サーバーから ZIP ペイロードがダウンロードされると、%TEMP% フォルダに展開され、実行されます。実行されるバイナリ自体は「クリーン」なアプリケーションですが、DLL サイドローディング手法によって悪意のある DLL をロードします。この DLL ファイルは、実際はマルウェアのローダーです。ZIP 内の暗号化ファイルから最終的な Remcos ペイロードを復号して実行します。
ZIP ファイルをダウンロードすることが確認された PowerShell ファイルには、DLL サイドローディングに悪用されるさまざまなアプリケーションのヒントがあり、以下のようにクリーンなファイルと悪意のあるファイルが混在しています。
- DefenderUpdate/DPMHelper.exe
- DefenderUpdate/DZIPR.exe
- DefenderUpdate/IDRBackup.exe
- DefenderUpdate/IUService.exe
- DefenderUpdate/madHcCtrl.exe
- DefenderUpdate/palemoon.exe
- Drvx64/Compil32.exe
- Drvx64/IsCabView.exe
- Drvx64/TiVoDiag.exe
- Drvx64/WiseTurbo.exe
- SecurityCheck/Mp3tag.exe
- SysDrive/AcroBroker.exe
- SysDrive/DPMHelper.exe
- SysDrive/IsCabView.exe
- SysDrive/palemoon.exe
- SysDrive/SbieSvc.exe
- SysDrive/steamerrorreporter64.exe
- SysDrive/TiVoDiag.exe
- SysDrive/vmhost.exe
「Any.run」を使用してダウンロードした前述のサンプルを調べると、クリーンなアプリケーションである TivoDiag.exe と 2 つの DLL が含まれていることがわかります。ファイル「MindClient.dll」は悪意のある DLL で、実行中に「TivoDiag.exe」によってロードされます。
このペイロードバイナリは、Explorer.exe にインジェクションされる典型的な Remcos バックドアです。通信は、C2 サーバー 146[.]185[.]233[.]96 のポート 6856 を使用して行われます。
カバレッジ
今回の脅威は、以下の製品で検出してブロックすることが可能です。
Cisco Secure Endpoint(旧 AMP for Endpoints)は、この記事で説明したマルウェアの実行を阻止するのに最適です。Cisco Secure Endpoint の無料トライアルはこちらからお申し込みください。
Cisco Secure Email(旧 E メールセキュリティ)は、攻撃の一環として攻撃者が送りつける不正な電子メールをブロックします。Cisco Secure Email の無料トライアルはこちらからお申し込みください。
Threat Defense Virtual、適応型セキュリティアプライアンス、Meraki MX など、Cisco Secure Firewall(旧次世代ファイアウォールおよび Firepower NGFW)アプライアンスは、この脅威に関連する悪意のあるアクティビティを検出できます。
Cisco Secure Network/Cloud Analytics(Stealthwatch/Stealthwatch Cloud)は、ネットワークトラフィックを自動的に分析し、接続されているすべてのデバイスで、望ましくない可能性があるアクティビティをユーザーに警告します。
Cisco Secure Malware Analytics(Threat Grid)は、悪意のあるバイナリを特定し、シスコのすべてのセキュリティ製品に保護機能を組み込みます。
Cisco Secure Access は、ゼロトラストの原則に基づいて構築された、最新のクラウド提供型セキュリティサービスエッジ(SSE)です。Cisco Secure Access はユーザーがどこで作業していても、インターネット、クラウドサービス、プライベート アプリケーションへのシームレスかつ透過的でセキュアなアクセスを提供します。Cisco Secure Access の無料トライアルにご興味をお持ちの場合は、シスコのアカウント担当者または認定パートナーまでお問い合わせください。
Umbrella(シスコのセキュア インターネット ゲートウェイ(SIG))は、社内ネットワークの内外で悪意のあるドメイン、IP、URL への接続をブロックします。
Cisco Secure Web Appliance(旧 Web セキュリティアプライアンス)は、危険性のあるサイトを自動的にブロックし、ユーザーがアクセスする前に疑わしいサイトを検査します。
特定の環境および脅威データに対する追加の保護機能は、Firewall Management Center から入手できます。
Cisco Duo は、ユーザーに多要素認証を提供し、承認されたユーザーのみがネットワークにアクセスできるようにします。
オープンソースの Snort サブスクライバルールセットをお使いであれば、Snort.org で購入可能な最新のルールパックをダウンロードすることで、最新状態を維持できます。
この脅威の Snort SID は次のとおりです。
Snort 2:64707、64708
Snort 3:301171
IOC(侵害の指標)
この脅威の IOC は、こちらの GitHub リポジトリで提供しています。
本稿は 2025 年 3 月 28 日にTalos Group
Authors