Last Updated on 2025-06-29 20:37 by TaTsu
Arctic Wolf Labsは2025年6月28日、ウクライナを標的とするサイバー攻撃グループUAC-0226が使用するGIFTEDCROOKマルウェアが大幅に進化したと発表した。
このマルウェアは2025年2月にデモ版として開始され、4月にウクライナのCERT-UAによって初めて確認された。バージョン1では基本的なブラウザデータ窃取機能のみだったが、バージョン1.2と1.3では文書窃取機能を追加し、7MB未満で過去45日以内に作成・変更されたファイルを標的とする。
対象拡張子は.doc、.docx、.pdf、.txt、.ovpnなど21種類である。攻撃手法は軍事テーマのフィッシングメールを使用し、マクロ付きExcelファイルをMegaクラウドストレージ経由で配布する。盗取データはZIPアーカイブ化され、20MBを超える場合は分割してTelegramチャンネルに送信される。
Arctic Wolf Labsは、イスタンブール和平交渉時期と攻撃タイミングが一致していると指摘している。
From: 
GIFTEDCROOK Malware Evolves: From Browser Stealer to Intelligence-Gathering Tool
【編集部解説】
GIFTEDCROOKマルウェアの進化は、現代のサイバー攻撃が単なる金銭目的から国家レベルの情報収集へと質的変化を遂げていることを象徴的に示しています。このマルウェアは2025年2月のデモ版から僅か4ヶ月で、ブラウザデータ窃取ツールから高度なインテリジェンス収集プラットフォームへと変貌を遂げました。
特に注目すべきは、攻撃タイミングと地政学的イベントの精密な連動性です。バージョン1.2の展開がイスタンブール和平交渉の時期と重なった点は、サイバー攻撃が外交戦略の一環として組み込まれている現実を浮き彫りにしています。
技術的な観点から見ると、このマルウェアの進化パターンは極めて計画的です。初期バージョンでは基本的なブラウザ認証情報の窃取に留まっていたものが、バージョン1.2では文書ファイルの収集機能を追加し、最新の1.3では対象期間を45日に設定しています。これは攻撃者が被害者の行動パターンを詳細に分析し、最適化を図っている証拠といえるでしょう。
Telegramを指令サーバーとして活用する手法も巧妙です。一般的なメッセージングアプリを悪用することで、企業のネットワーク監視システムを回避しやすくなります。20MBを超えるデータを自動分割して送信する機能は、大容量ファイルの検知を困難にする効果があります。
この事案が示すより深刻な問題は、攻撃者が被害者組織の内部構造を熟知している点です。検索対象に含まれる.ovpnファイルなどの存在は、事前の偵察活動や内部情報の入手を示唆しています。これは単発的な攻撃ではなく、長期間にわたる組織的な諜報活動の一部である可能性が高いといえます。
企業や組織にとって、この事案から学ぶべき教訓は明確です。従来のアンチウイルスソフトに依存したセキュリティ対策では、このような高度化したマルウェアに対処することは困難になっています。特にマクロ付きExcelファイルを用いた攻撃手法は、業務上の必要性から完全に遮断することが難しく、従業員教育と技術的対策の両面からのアプローチが不可欠です。
【用語解説】
GIFTEDCROOK
ウクライナの政府機関や軍事組織を標的とするマルウェア。ブラウザデータ窃取から機密文書収集へと進化した情報窃取ツール。
UAC-0226
CERT-UAが追跡するサイバー攻撃グループ。2025年2月からウクライナ東部国境付近の軍事・法執行機関を標的とした諜報活動を実施。
C&Cサーバー
Command & Controlサーバーの略。マルウェアが攻撃者からの指令を受信し、盗取データを送信する通信拠点。
フィッシングメール
正規の送信者を装って機密情報を詐取する詐欺メール。軍事関連の偽装文書で標的を騙す手法。
【参考リンク】
Arctic Wolf Labs(外部)
サイバーセキュリティ企業Arctic Wolfの研究部門。脅威インテリジェンスと高度な脅威検知技術の開発を行う。
CERT-UA(ウクライナコンピュータ緊急対応チーム)(外部)
ウクライナの国家サイバーセキュリティ機関。2007年設立でサイバー攻撃の監視・対応を担当する政府組織。
Telegram(外部)
エンドツーエンド暗号化機能を持つメッセージングアプリ。GIFTEDCROOKが盗取データの送信に悪用している。
MEGA(外部)
ニュージーランド拠点のクラウドストレージサービス。エンドツーエンド暗号化が特徴で、攻撃者がマルウェア配布に悪用。
【参考記事】
GIFTEDCROOK’s Strategic Pivot: From Browser Stealer to Data Exfiltration Platform(外部)
Arctic Wolf Labsによる詳細技術分析。GIFTEDCROOKの各バージョンの機能比較と攻撃手法の進化過程を解説。
Threat Actors Transform GIFTEDCROOK Stealer into an Intelligence-Gathering Tool(外部)
GBHackersによるGIFTEDCROOKの技術的進化の詳細分析。暗号化やファイル圧縮機能の実装について解説。
UAC-0226 Deploys GIFTEDCROOK Stealer via Malicious Excel Files(外部)
The Hacker NewsによるGIFTEDCROOK初期バージョンの報告。CERT-UAの警告と攻撃手法の基本構造を解説。
【編集部後記】
今回のGIFTEDCROOKの事例を見て、皆さんの職場ではマクロ付きファイルをどのように扱っていますか?
特に政府系や金融機関にお勤めの方は、日常的に受信するExcelファイルに対してどんな警戒をされているでしょうか。私たちも含め、多くの人が「業務上必要だから」という理由でマクロを有効化してしまいがちです。
この記事をきっかけに、皆さんの組織のセキュリティ対策について改めて考えてみませんか?もしよろしければ、コメント欄で現場の実情や対策について教えていただけると嬉しいです。
