チェック・ポイント・リサーチ、ウクライナ組織を狙うロシア系グループGamaredonの戦術と最新の攻撃ツールLitterDrifterを分析

ハイライト

・ APTグループのGamaredonはロシアの諜報活動における重要なプレイヤーと見なされ、主にウクライナの組織や団体を標的とした大規模な攻撃キャンペーンで注目を集めています。

・ USB ワームのLitterDrifterは、米国、ベトナム、チリ、ポーランド、ドイツ、香港などの国々で感染の可能性があり、当初ターゲットとしていた範囲を超え、世界的な影響を与えていることが明らかになりました。

・ Gamaredonが最近展開しているLitterDrifterはVBSで書かれたワームで、USBドライブを介して拡散するよう設計されており、柔軟かつ流動的なインフラを維持するGamaredonの戦術的進化を示しています。



包括的なサイバーセキュリティソリューションプロバイダーであるチェック・ポイント・ソフトウェア・テクノロジーズ（Check Point(R) Software Technologies Ltd. < リンク > 、NASDAQ：CHKP、以下チェック・ポイント）の脅威インテリジェンス部門であるチェック・ポイント・リサーチ（Check Point Research、以下CPR）は、ウクライナの組織を標的とするロシア系APTグループGamaredonが展開する大規模な攻撃キャンペーンと、その最新ツールであるUSBワームのLitterDrifterを含む、同グループの諜報戦術に関する分析結果を報告しました。なお、現在Check Point Harmony Endpoint < リンク > をご利用中のチェック・ポイントのお客様は、本レポートに詳述する攻撃から保護されています。

LitterDrifterに関する主要な発見
Gamaredonが用いるサイバー兵器の中でも最新のツールであるLitterDrifterは、VBSで書かれ、二重の機能を持つワームです。 このワームの主な目的は、USBドライブを介した自動的な拡散と、柔軟性の高い複数の組み合わせを持つコマンド＆コントロールサーバーとの接続の確立です。これはGamaredonが重視する複数の目標に沿って戦略的に設計されており、これにより同グループは各ターゲットへの持続的なアクセスを維持できます。

世界的に感染を広げるUSBワーム
Gamaredonは主にウクライナの組織・団体を標的としていますが、LitterDrifterの性質上、その活動にはグローバルな要素も含まれており、米国、ベトナム、チリ、ポーランド、ドイツ、香港などの国々でもLitterDrifterの感染の可能性が指摘されています。この事実は、LitterDrifterが他のUSBワームと同様に当初標的とされた範囲を超えて拡散し、サイバーセキュリティに世界的規模の広範な脅威をもたらしている可能性を示唆しています。

[画像: リンク ]

（上図）被害者の国別分布

背景
日々進化を続けるサイバー脅威状況において、特定の脅威者は大胆さや執拗さで際立ちます。中でもロシアの諜報活動の分野で中心的な存在であるGamaredonは、別名Primitive Bear、ACTINIUM、Shuckwormとしても知られ、ウクライナの組織のみを標的としています。ロシアに関連するサイバー諜報グループの多くが陰で活動しているのに対し、Gamaredonは大規模なキャンペーンによって目立っており、サイバーセキュリティ研究者は同グループの痕跡を注視して解析しています。本リリースでは、Gamaredonが用いるツールの１つである悪名高いUSBワームLitterDrifterに目を向けています。

Gamaredonの帰属
Gamaredonはウクライナの幅広い組織を標的にすることを特徴としており、諜報活動の諸目的に対する執拗な取り組みを示しています。ウクライナの法執行機関であり、防諜活動と組織犯罪対策の分野における主要な情報・治安維持機関であるウクライナ保安庁（SSU）は、Gamaredonに属する要員について、ロシア国内で防諜、テロ対策、軍の監視を担当する防諜・安全保障機関であるロシア連邦保安庁（FSB）の将校であることを特定し、これによりGamaredonの活動に地政学的な側面が加わりました。

C2インフラに関する分析
チェック・ポイントによる大規模な分析ではGamaredonのコマンド＆コントロールインフラストラクチャについて深く掘り下げ、その極めて高い柔軟性と流動性を明らかにしています。このように変動的な特性を持つにもかかわらず、このインフラは以前にも報告されたパターンや特徴を維持しており、Gamaredonのアプローチが一定のレベルでの一貫性を持つことを示しています。

結論
サイバーセキュリティ専門家が国家支援型サイバー諜報活動の複雑さについて分析を続ける中でGamaredonは依然として精査の対象として注目されています。LitterDrifterワームはGamaredonグループの適応能力と革新性の証であり、サイバー脅威の絶え間ない進化を体現しています。こうしたマルウェアに対する理解と全容の解明は、巧妙化する敵対勢力に対しグローバルなサイバーセキュリティ防御を強化する上で極めて重要です。

チェック・ポイントのお客様は引き続き保護されています
現在Check Point Harmony Endpoint < リンク > をご利用中のチェック・ポイントのお客様は、本プレスリリースに詳述する攻撃から保護されています。お客様の事業の保護にチェック・ポイントをご使用いただくことにより、チェック・ポイント製品すべてを支える頭脳であるThreatCloud AI < リンク > の力によって、最先端の攻撃に対しても精度の高い予防策を実現できます。

さらに詳しい情報はチェック・ポイント・リサーチのブログ < リンク > をご覧ください。

本プレスリリースは、米国時間2023年11月17日に発表されたブログ < リンク > （英語）をもとに作成しています。

Check Point Researchについて
Check Point Researchは、チェック・ポイントのお客様、脅威情報コミュニティを対象に最新のサイバー脅威インテリジェンスの情報を提供しています。チェック・ポイントの脅威インテリジェンスであるThreatCloud に保存されている世界中のサイバー攻撃に関するデータの収集・分析を行い、ハッカーを抑止しながら、自社製品に搭載される保護機能の有効性について開発に携わっています。100人以上のアナリストや研究者がチームに所属し、セキュリティ ベンダー、捜査当局、各CERT組織と協力しながら、サイバーセキュリティ対策に取り組んでいます。
ブログ: リンク
X（旧Twitter）: リンク

チェック・ポイントについて
チェック・ポイント・ソフトウェア・テクノロジーズ（リンク）は、世界各国の政府機関や企業など、あらゆる組織に対応するサイバーセキュリティソリューションを提供するリーディングカンパニーです。Check Point Infinityの各ソリューションはマルウェアやランサムウェアを含むあらゆる脅威に対して業界トップクラスの捕捉率を誇り、第5世代のサイバー攻撃から企業や公共団体を守ります。Infinityは、企業環境に妥協のないセキュリティを提供し脅威防御を実現する4つの柱で構成されています。リモートユーザー向けのCheck Point Harmony、クラウドを自動的に保護するCheck Point CloudGuard、ネットワーク境界を保護するCheck Point Quantum、そして防止優先のセキュリティオペレーションスイート、Check Point Horizonです。チェック・ポイントは10万を超えるあらゆる規模の組織を守っています。チェック・ポイント・ソフトウェア・テクノロジーズの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社（リンク）は、1997年10月1日設立、東京都港区に拠点を置いています。

ソーシャルメディア アカウント
・Check Point Blog: リンク
・Check Point Research Blog: リンク
・YouTube: リンク
・LinkedIn: リンク
・X（旧Twitter）:リンク
・Facebook: リンク

本件に関する報道関係者からのお問い合わせ
チェック・ポイント広報事務局 （合同会社NEXT PR内）
Tel: 03-4405-9537　Fax: 03-4332-2354
E-mail: checkpointPR@next-pr.co.jp

プレスリリース提供：PR TIMES リンク