コラム

Column

導入事例

Case Study

サイバーニュース

Cyber News

海外のサイバーセキュリティ関連のニュースを日本語でご紹介しています。

お知らせ

News

ウクライナ標的のサイバー諜報でGamaredonとTurlaの連携をESETが報告

スロバキアのセキュリティ企業ESETは、ロシア系ハッカー集団とされるGamaredonとTurlaが、ウクライナ国内の端末を侵害する過程で連携していた可能性が高いと報告しています。特に、Gamaredonのツールを通じてTurlaのKazuarバックドアが実行された点が注目されています。

The Hacker News:Russian Hackers Gamaredon and Turla Collaborate to Deploy Kazuar Backdoor in Ukraine

この記事のポイント

影響のあるシステム

  • ウクライナ国内の組織に属するWindows端末
  • ウクライナの防衛関連セクターを含む高価値な標的とみられる組織
  • PowerShell、Microsoft Excelアドイン、スケジュールタスク、LNKファイル、リムーバブルドライブが悪用される可能性のあるWindows環境
  • Telegra.ph、Cloudflare Workers、外部C2サーバーとの通信が発生し得るネットワーク環境
  • 日本国内では直接的な被害対象として報告されていませんが、ウクライナ関連業務、防衛、外交、政府系業務に関わる組織は類似手口への警戒が必要です。

推奨される対策

  • PowerShellの実行ログ、スクリプトブロックログ、スケジュールタスクの作成履歴を確認してください。
  • 不審なExcelアドイン、LNKファイル、リムーバブルドライブ経由の実行痕跡を調査してください。
  • Telegra.ph、Cloudflare Workers、動的DNS、未知の外部ドメインへの通信を監視してください。
  • EDRやアンチマルウェア製品で、Kazuar、PteroGraphin、PteroOdd、PteroPasteなどに関連する検知情報を確認してください。
  • 標的型メール対策として、添付ファイル、ショートカットファイル、外部リンクの取り扱いルールを再確認してください。
  • 重要端末では、端末隔離、認証情報の再発行、侵害範囲調査、ログ保全を含むインシデント対応手順を準備してください。

上記の対策は、元記事の事実に基づき日本の読者向けに整理したものです。

この記事に出てくる専門用語

  • Gamaredon:Aqua BlizzardやArmageddonとも呼ばれる脅威グループです。ESETによると、少なくとも2013年から活動し、主にウクライナの政府機関を標的にしてきたとされています。
  • Turla:Secret Blizzard、Venomous Bear、Snakeなどの別名を持つサイバー諜報グループです。政府機関や外交機関など、高価値な標的を狙うことで知られています。
  • Kazuar:Turlaが利用しているとされる.NETベースのバックドア型マルウェアです。記事ではKazuar v2とKazuar v3の利用が報告されています。
  • バックドア:攻撃者が侵入後も継続的にアクセスできるようにするための不正プログラムや仕組みです。
  • C2:Command and Controlの略で、攻撃者がマルウェアへ命令を送ったり、盗み出した情報を受け取ったりするための通信基盤です。
  • PowerShell:Windows環境で使われる管理用シェルおよびスクリプト実行環境です。攻撃者に悪用される場合があります。
  • LNKファイル:Windowsのショートカットファイルです。悪意あるコマンド実行のきっかけとして悪用されることがあります。
  • スピアフィッシング:特定の個人や組織を狙い、業務連絡に見せかけたメールなどで不正ファイルやリンクを開かせる攻撃手法です。

単独の侵害ではなく、役割分担型の攻撃として見るべき理由

今回の報告で重要なのは、単に新しいマルウェアが見つかったという点ではなく、別々に知られてきた2つの脅威グループが、同じ標的環境で役割を分担していた可能性が示された点です。ESETによると、2025年2月にウクライナの端末で、GamaredonのPteroGraphinとPteroOddがTurlaのKazuar v3バックドアを実行するために使われたとされています。PteroGraphinは、Kazuar v3がクラッシュした、または自動起動しなかった後に再起動させる目的で使われた可能性があると説明されています。

Gamaredonは多数のウクライナ組織を継続的に狙う活動で知られ、Turlaは政府や外交機関など高価値な標的を狙うサイバー諜報グループとして知られています。ESETは、過去18か月でウクライナ国内の7台の端末からTurla関連の痕跡を検出し、そのうち4台は2025年1月にGamaredonによって侵害されたとみています。これは、広く侵入する役割と、重要な端末を選んで高度なバックドアを展開する役割が分かれていた可能性を示します。

日本企業にとって、この事案は「自社がウクライナの標的ではないから関係ない」と片付けるべきものではありません。国家支援型の攻撃では、初期侵入を得意とするグループと、高価値情報の収集を担うグループが連携するケースがあります。防衛、外交、重要インフラ、海外拠点、サプライチェーンに関わる組織では、個別のマルウェア名だけでなく、侵入後の横展開、永続化、外部通信、再侵入の流れを一体として監視することが重要です。

KazuarとGamaredon系ツールの組み合わせが示す技術的な特徴

記事で中心となるKazuarは、Turlaが利用しているとされるバックドア型マルウェアです。ESETによると、Kazuar v2とKazuar v3は同じマルウェアファミリーに属し、同じコードベースを共有しています。一方で、Kazuar v3はKazuar v2よりもC#のコード行数が約35%多く、WebSocketやExchange Web Servicesを使った追加のネットワーク通信手段を備えているとされています。これは、侵入後の通信経路を複数用意し、検知や遮断を難しくする意図がある可能性を示します。

Gamaredon側のツールとしては、PteroGraphin、PteroOdd、PteroPasteが登場します。PteroGraphinはPowerShellベースのツールで、Microsoft Excelアドインとスケジュールタスクを永続化の仕組みとして使い、Telegra.ph APIをC2通信に利用すると説明されています。PteroOddはPowerShellダウンローダーとしてKazuarの実行に関与し、PteroPasteも2025年6月の攻撃チェーンでKazuar v2のインストールに使われたと報告されています。

攻撃チェーンでは、被害端末のコンピューター名やシステムドライブのボリュームシリアル番号などがCloudflare Workersのサブドメインへ送信された後、Kazuarが起動されたとされています。また、別のサンプルでは、広範なシステム情報が外部ドメインに送信されたと報告されています。Gamaredonのツールセットには.NETマルウェアが見られず、TurlaのKazuarは.NETベースであることから、この情報収集はTurla向けだった可能性があるとESETは中程度の確度で評価しています。

国内組織が確認すべき防御ポイント

今回の攻撃は、元記事上では主にウクライナ国内の組織、とくに防衛関連セクターを中心に報告されています。そのため、日本国内の一般企業が同じ攻撃キャンペーンの直接標的になっているとまでは言えません。しかし、手口としてはWindows端末、PowerShell、外部Webサービス、スケジュールタスク、LNKファイル、リムーバブルドライブなど、多くの企業環境に存在する要素が悪用されています。したがって、防御側は「脆弱性パッチだけで防げる問題」ではなく、端末侵害後のふるまいを監視する問題として捉える必要があります。

まず確認すべきなのは、PowerShellの不審な実行履歴です。特に、エンコードされたコマンド、非表示ウィンドウでの実行、外部URLからのスクリプト取得、スケジュールタスク経由の実行は優先的に調査すべきです。次に、Excelアドインやショートカットファイルが業務上不要な場所に作成されていないか、リムーバブルドライブから不審なLNKファイルが実行されていないかを確認する必要があります。外部通信では、Telegra.ph、Cloudflare Workers、動的DNSなど、通常業務と関係が薄い通信先を監視対象に入れることが有効です。

また、EDRやSIEMを導入している組織では、単一のアラートで判断せず、端末名の送信、プロセス一覧の送信、.NETバージョンの列挙、永続化設定、外部スクリプト取得といった複数の兆候を時系列でつなげて確認することが重要です。海外拠点、政府・自治体向け事業、防衛関連取引、研究開発情報を扱う組織では、標的型攻撃を前提に、ログ保全、端末隔離、認証情報のリセット、侵害範囲調査を迅速に行える体制を整えておくべきです。今回の事例は、攻撃者が初期侵入後に別グループの高度なバックドアを展開する可能性を示しており、侵入の入口だけでなく、その後の権限維持と情報収集までを監視する必要があります。

参考文献・記事一覧

投稿者プロフィール

CyberCrew(サイバークルー)
CyberCrew(サイバークルー)
CyberCrew(サイバークルー)は、企業の情報セキュリティをトータルで支援する専門チームです。高度なスキルを持つホワイトハッカーが在籍し、サイバー攻撃の監視・検知から初動対応、リスク診断や従業員向けのセキュリティ教育まで、幅広いサービスを提供。企業のニーズに応じた柔軟な対応で、安心・安全なIT環境の実現をサポートします。

情報セキュリティサービス台帳登録事業者

■ セキュリティコンテスト受賞歴
CTF国際大会 世界No.1
CEH Master Leaderboard 世界No.1
Hack The Box Rank TOP10

■ 保有セキュリティ資格
GIAC GXPNCisco Cybersecurity SpecialistCEH MasterCEH Practical
Cyber Security Professional CertificateOSCPOSCP+CPENTOSWP
eCPPTeMAPTCRTSSOC-100PEN-100
HTB Offshore Penetration Tester(Level 3)

新着コラム

コラム カテゴリー

新着サイバーニュース

サイバーニュース カテゴリー


Page Top