スロバキアのサイバーセキュリティ企業ESETは、ロシア系ハッカー集団GamaredonとTurlaが協力してウクライナの特定組織にKazuarバックドアを展開している証拠を確認したと報告しています。攻撃は2025年初頭から実施され、Gamaredonが初期アクセスを提供し、TurlaがKazuar v2/v3を展開する形で行われました。
The Hacker News:Russian Hackers Gamaredon and Turla Collaborate to Deploy Kazuar Backdoor in Ukraine
この記事のポイント
影響のあるシステム
- ウクライナの防衛関連組織およびその他の政府機関のエンドポイント
- Kazuar v2およびv3バックドアが展開されたWindowsシステム
- GamaredonのPowerShellツール:PteroGraphin、PteroOdd、PteroPaste
推奨される対策
- エンドポイントの不審なPowerShellスクリプトやC2通信の監視強化
- 定期的なシステム脆弱性スキャンとパッチ適用
- 外部からの不審なファイル・メール添付への注意
- 侵害検知とログ監査を通じた異常アクセスの早期発見
上記の対策は、元記事の事実に基づき日本の読者向けに整理したものです。
この記事に出てくる専門用語
- Gamaredon:2013年以降ウクライナを中心に攻撃を行うロシアFSB系ハッカー集団。
- Turla (Snake):2000年代初頭から活動する高度なサイバー諜報集団。政府や外交機関を標的。
- Kazuar:Turlaが使用する.NETベースのバックドア。v2/v3で機能が拡張。
- PteroGraphin / PteroOdd / PteroPaste:GamaredonのPowerShellベースのマルウェアツール群。
- C2 (Command and Control):マルウェアが外部攻撃者と通信する制御サーバ。
攻撃の手口と被害状況
ESETの調査によると、GamaredonはPteroGraphinを用いてKazuar v3をリスタート、PteroOddやPteroPasteを経由してKazuar v2を展開しました。攻撃チェーンでは、PowerShellスクリプトがC2サーバと通信して情報を収集・送信し、システム名やボリュームシリアル番号などのデータが外部に送られる仕組みです。これまでにウクライナ国内7台の機器でTurla関連の指標が検出され、うち4台がGamaredonにより侵害された可能性があります。
技術的背景と攻撃手法
Kazuarは.NETベースで、ネットワーク通信にはWebSocketやExchange Web Servicesが使用されます。Gamaredonのツール群は.NETマルウェアを含まず、初期アクセス提供や追加ペイロードの展開を担当しています。初期侵入はスピアフィッシングやリムーバブルメディアの悪用が疑われ、攻撃全体はPowerShellスクリプトを用いた複雑な自動化プロセスで進められました。TurlaはKazuarを用いて収集した情報を分析・整理し、長期的なアクセス確保に活用しています。
国内組織が確認すべきポイント
国内の組織でも、類似のバックドア攻撃に備える必要があります。特にPowerShellスクリプトの不審な動作、C2通信の監視、外部ファイルやメール添付の管理は重要です。また、重要データへのアクセス権限の見直し、システムログ監査、脆弱性パッチ適用などの防御策を徹底することで、バックドア展開や情報漏洩のリスクを低減できます。定期的な教育と社内対応手順の整備も効果的です。
