Атака на ланцюг постачання STX RAT вражає гаманці та X-VPN

Резюме

Звіт описує багатоступеневу завантажувальну структуру, яку використовує підтримувана державою Росії група Gamaredon для збереження довгострокового доступу в умовах українського уряду та критичної інфраструктури. Завантажувачі доставляються через легітимні хмарні платформи та служби обміну повідомленнями, зберігають дані управління та контролю в реєстрі Windows, і спираються на альтернативні потоки даних та заплановані завдання для запуску пізніших етапів.

Розслідування

Sekoia.io реконструювала три етапи завантажувачів на основі VBScript, які отримують додатковий код з dead-drop резолверів, розміщених на таких службах, як Telegram, Telegraph і Check-Host. Другий етап записує корисне навантаження у ADS під %TEMP% і створює заплановане завдання, у той час як третій етап запускає прихований процес PowerShell, що завантажує та запускає остаточний модуль крадія GammaSteel.

Захист

Захисники повинні стежити за підозрілими записами в реєстрі під HKCUConsole, непередбаченими запланованими завданнями з назвою DsSvcCleanup, ненормальним використанням альтернативних потоків даних в %TEMP%, та мережевим трафіком до відомих доменів Cloudflare, Telegram та Check-Host. Виконання незареєстрованих файлів VBScript та PowerShell, які використовують закодовані команди, також має бути заблокованим або суворо обмеженим.

Реакція

У разі виявлення компромісу, негайно ізолюйте уражені хости, зберіть відповідні ключі реєстру та визначення запланованих завдань, збережіть файли, пов’язані з ADS, і блокуйте ідентифіковані домени та IP-адреси командного і контрольно-управляючого сервера. Виконайте судову експертизу і шукайте крадія GammaSteel як у пам’яті, так і на диску.

Симуляція виконання

Передумова: попередній тест телекерування та базової лінії успішно пройдено.

Раціональність: у цьому розділі наведено точне виконання техніки супротивника (TTP), призначене для спрацьовування правила виявлення. Команди та наратив ПОВИННІ точно відображати ідентифіковані TTP і призначені для генерації точно того телеметрії, яка очікується логікою виявлення.

• Наратив атаки та команди:
  Зловмисник, зламавши сесію користувача, повинен оновити свою C2 кінцеву точку, щоб майбутні маяковання досягали нового сервера. Gamaredon зберігає URL у відомому ключі реєстру під HKCUConsole. Атакувач використовує рідний PowerShell (Set-ItemProperty), щоб записати новий URL, обходячи використання будь-яких сторонніх інструментів, тим самим залишаючись «живим від землі». Ця дія генерує Подія установки значення реєстру (ПодіяID 13) з повним шляхом, що збігається з патерном | містить у реєстрі Sigma фільтром.

  # Симульоване оновлення C2 URL Gamaredon – запис у підконтрольний ключ
  $c2Url = "https://c2.gamaredon.example.com/payload"
  $targetKey = "HKCU:ConsoleHistoryURL"
  New-Item -Path $targetKey -Force | Out-Null
  Set-ItemProperty -Path $targetKey -Name "URL" -Value $c2Url

• Скрипт тестування регресії: (PowerShell – самостійний)

  <#
  Симулює оновлення C2 URL Gamaredon в ключі реєстру, що відстежується правилом Sigma.
  #>
  
  # Параметри (за потреби скорегуйте)
  $c2Url    = "https://c2.gamaredon.example.com/payload"
  $regPath  = "HKCU:ConsoleHistoryURL"
  $valueName = "URL"
  
  # Переконайтеся, що ключ існує
  if (-not (Test-Path $regPath)) {
      New-Item -Path $regPath -Force | Out-Null
  }
  
  # Запис зловмисного C2 URL
  Set-ItemProperty -Path $regPath -Name $valueName -Value $c2Url
  
  Write-Host "[*] C2 URL записано у $regPath$valueName"

• Команди прибирання: (PowerShell)

  # Видалити симульований ключ/значення, щоб залишити систему чистою
  $regPath = "HKCU:ConsoleHistoryURL"
  if (Test-Path $regPath) {
      Remove-ItemProperty -Path $regPath -Name "URL" -ErrorAction SilentlyContinue
      # За бажанням видаліть ключ повністю
      Remove-Item -Path $regPath -Recurse -Force -ErrorAction SilentlyContinue
      Write-Host "[*] Вичищено симульовані артефакти реєстру."
  }