Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
El informe describe un marco de carga en múltiples etapas utilizado por el grupo Gamaredon respaldado por el estado ruso para preservar el acceso a largo plazo dentro de los entornos gubernamentales y de infraestructura crítica ucranianos. Las cargas se entregan a través de plataformas de nube y servicios de mensajería legítimos, almacenan detalles de comando y control en el registro de Windows y dependen de flujos de datos alternativos y tareas programadas para activar cargas útiles posteriores.
Investigación
Sekoia.io reconstruyó tres etapas de cargador basadas en VBScript que recuperan código adicional de resolutores de punto muerto alojados en servicios como Telegram, Telegraph y Check-Host. La segunda etapa escribe una carga útil en un ADS bajo %TEMP% y crea una tarea programada, mientras que la tercera etapa lanza un proceso de PowerShell oculto que descarga y ejecuta el módulo final del ladrón GammaSteel.
Mitigación
Los defensores deben monitorear las escrituras de registro sospechosas bajo HKCUConsole, tareas programadas inesperadas nombradas DsSvcCleanup, uso anormal de flujos de datos alternativos en %TEMP%, y el tráfico de red a dominios conocidos de Cloudflare, Telegram y Check-Host. La ejecución de scripts de VBScript y PowerShell no firmados que dependen de comandos codificados también debería bloquearse o restringirse estrictamente.
Respuesta
Si se detecta la vulneración, aísle los hosts afectados inmediatamente, recopile las claves de registro relevantes y las definiciones de tareas programadas, preserve los archivos relacionados con ADS, y bloquee los dominios e IPs de comando y control identificados. Realice una imagen forense y busque el ladrón GammaSteel tanto en la memoria como en el disco.
"graph TB %% Class Definitions classDef technique fill:#99ccff classDef operator fill:#ff9900 classDef tool fill:#cccccc %% Node definitions initial_driveby["<b>Técnica</b> – <b>T1189 Compromiso Driveu2011by</b><br/><b>Descripción</b>: Comprometer un sitio web para entregar contenido malicioso cuando un usuario lo visita."] class initial_driveby technique c2_deadDrop["<b>Técnica</b> – <b>T1102.001 Resolver de Caída de Servicio Web</b><br/><b>Descripción</b>: Usar servicios web legítimos para intercambiar datos de comando y control."] class c2_deadDrop technique c2_dynamic["<b>Técnica</b> – <b>T1568 Resolución Dinámica</b><br/><b>Descripción</b>: Resolver direcciones C2 dinámicamente para evadir la detección."] class c2_dynamic technique execution_vbscript["<b>Técnica</b> – <b>T1216.002 Ejecución de Script Proxy del Sistema VBScript</b><br/><b>Descripción</b>: Ejecutar VBScript malicioso a través de un proxy de script del sistema."] class execution_vbscript technique persistence_task["<b>Técnica</b> – <b>T1053.005 Tarea Programada</b><br/><b>Descripción</b>: Crear una tarea programada para mantener la persistencia."] class persistence_task technique priv_esc_reflect["<b>Técnica</b> – <b>T1620 Carga de Código Reflejada PowerShell</b><br/><b>Descripción</b>: Cargar código malicioso reflexivamente en la memoria usando PowerShell."] class priv_esc_reflect technique propagation_usb["<b>Técnica</b> – <b>T1091 Replicación A través de Medios Extraíbles</b><br/><b>Descripción</b>: Copiar archivos maliciosos a unidades USB para propagación."] class propagation_usb technique %% Connections showing attack flow initial_driveby –>|lleva a| c2_deadDrop c2_deadDrop –>|usa| c2_dynamic c2_dynamic –>|habilita| execution_vbscript execution_vbscript –>|establece| persistence_task persistence_task –>|facilita| priv_esc_reflect execution_vbscript –>|habilita| propagation_usb "
Flujo de Ataque
Detecciones
La Posibilidad de Ejecución A Través de Comandos de PowerShell Ocultos (a través de cmdline)
Ver
Llamar Métodos .NET Sospechosos desde Powershell (a través de powershell)
Ver
LOLBAS WScript / CScript (a través de creación_de_proceso)
Ver
Posible Abuso de Telegram Como Canal de Comando y Control (a través de consulta_dns)
Ver
Comunicación de Dominio Trycloudflare Sospechosa (a través de dns)
Ver
Posible Abuso de Dominio de Desarrollo de Cloudflare (a través de dns)
Ver
IOCs (HashMd5) para detectar: Matryoshka #2/3 del FSB – Regalos de Gamaredon que siguen desempacando – GammaLoad
Ver
IOCs (SourceIP) para detectar: Matryoshka #2/3 del FSB – Regalos de Gamaredon que siguen desempacando – GammaLoad
Ver
IOCs (DestinationIP) para detectar: Matryoshka #2/3 del FSB – Regalos de Gamaredon que siguen desempacando – GammaLoad
Ver
Detección de Ejecución en Memoria de Gamaredon PowerShell [Windows Powershell]
Ver
Detección de Actualizaciones de URL C2 de Gamaredon en Registro [Evento de Registro de Windows]
Ver
Ejecutar Simulación
Prerrequisito: El Chequeo de Preparo de Telemetría y Línea Base debe haber pasado.
Motivo: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente las TTPs identificadas y apuntan a generar la telemetría exacta esperada por la lógica de detección.
-
Narrativa de Ataque y Comandos:
El actor de amenaza, habiendo comprometido la sesión del usuario, necesita actualizar su extremo C2 para que las futuras balizas lleguen a un servidor nuevo. Gamaredon almacena la URL en una clave de registro bien conocida bajoHKCUConsole. El atacante utiliza PowerShell nativo (Set-ItemProperty) para escribir la nueva URL, evitando cualquier herramienta de terceros y permaneciendo así «viviendo de la tierra». Esta acción genera un valor de registro establecido evento (EventID 13) con la ruta completa, que coincide con la regla de Sigma deRegistryPath|containsfiltro.# Actualización simulada de URL C2 de Gamaredon – escribe en una clave monitoreada $c2Url = "https://c2.gamaredon.example.com/payload" $targetKey = "HKCU:ConsoleHistoryURL" New-Item -Path $targetKey -Force | Out-Null Set-ItemProperty -Path $targetKey -Name "URL" -Value $c2Url -
Script de Prueba de Regresión: (PowerShell – autónomo)
<# Simula la actualización de URL C2 de Gamaredon en una clave de registro monitoreada por la regla de Sigma. #> # Parámetros (ajustar según sea necesario) $c2Url = "https://c2.gamaredon.example.com/payload" $regPath = "HKCU:ConsoleHistoryURL" $valueName = "URL" # Asegúrese de que la clave exista if (-not (Test-Path $regPath)) { New-Item -Path $regPath -Force | Out-Null } # Escribir la URL C2 maliciosa Set-ItemProperty -Path $regPath -Name $valueName -Value $c2Url Write-Host "[*] URL C2 escrita en $regPath$valueName" -
Comandos de Limpieza: (PowerShell)
# Eliminar la clave/valor simulado para dejar el sistema limpio $regPath = "HKCU:ConsoleHistoryURL" if (Test-Path $regPath) { Remove-ItemProperty -Path $regPath -Name "URL" -ErrorAction SilentlyContinue # Opcionalmente eliminar completamente la clave Remove-Item -Path $regPath -Recurse -Force -ErrorAction SilentlyContinue Write-Host "[*] Limpieza de artefactos de registro simulados." }