Гамаредон у 2025: Тунелі, Співробітники, Тайники і Нові Альянси
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Gamaredon, група APT, пов’язана з Росією, у 2025 році додатково адаптувала свою діяльність, зловживаючи легітимними сторонніми сервісами для приховування командно-контрольної інфраструктури та активності крадіжки даних. Група покладається на тунелі, воркери та платформи «заглушок» такі як Telegram і Dropbox для замаскування шкідливого трафіку. Також було введено нові інструменти на базі PowerShell та оновлено крадії файлів для підтримки ексфільтрації до хмари, сумісної з S3.
Дослідження
Дослідження ESET переглянуло операції Gamaredon у 2025 році й відзначило зрушення в бік великих кампаній spearphishing у поєднанні з техніками HTML-маніпуляцій. Розслідування виявило нові інструменти доставки, більшу кількість використання Cloudflare воркерів та тунелів, і продовження залежності від «заглушок»-резолверів. Дослідники також зафіксували співпрацю з іншими акторами, пов’язаними з Росією, включаючи Turla.
Пом’якшення
Захисники повинні спостерігати за незвичайними вихідними з’єднаннями до легітимних платформ зберігання даних у хмарі та серверлес-сервісів. Забезпечення суворого контролю над виконанням HTA та VBScript може допомогти заблокувати ранні стадії зараження. Також рекомендується моніторинг зловживань динамічними DNS-сервісами та загальновживаними платформами «заглушок».
Відповідь
Якщо виявлено активність Gamaredon, уражені системи слід негайно ізолювати, щоб запобігти подальшому розповсюдженню через зброєні USB-пристрої або мережеві ресурси. Розслідувачі повинні повністю переглянути будь-який несанкціонований доступ до акаунтів хмарного зберігання. Також слід перевірити телеметрію на наявність з’єднань з відомими тунельними та воркеровими сервісами, що асоціюються з групою.
Потік атаки
Виявлення
Можлива крадіжка / ексфільтрація / C2 через сторонні сервіси / інструменти (через cmdline)
Перегляд
Можлива крадіжка / ексфільтрація / C2 через сторонні сервіси / інструменти (через dns_query)
Перегляд
Підозрілий DNS-запит на відомі зловживані веб-сервіси (за мережевим з’єднанням)
Перегляд
Можливе зловживання API Visual Studio Code як C2 каналу (через dns_query)
Перегляд
Можливе зловживання API Visual Studio Code як C2 каналу (через проксі)
Перегляд
Підозріле спілкування з доменом Trycloudflare (через dns)
Перегляд
Підозрілі бінарні файли / скрипти в місці автозавантаження (через file_event)
Перегляд
Можлива спроба експлуатації CVE-2025-8088 / CVE-2025-6218 (вразливість WinRAR) (через file_event)
Перегляд
Можливе зловживання Telegram як каналу командування та контролю (через dns_query)
Перегляд
Виявлення PteroSetup та експлуатації WinRAR CVE-2025-8088 [створення процесу Windows]
Перегляд
Виявлення завантажувачів PowerShell Gamaredon [Windows Powershell]
Перегляд
Виконання симуляції
Необхідна умова: перевірка Телеметрії та Базової лінії перед запуском має бути успішною.
Мотивація: У цьому розділі викладено точне виконання техніки противника (TTP), призначеної для запуску правила виявлення. Команди та наратив повинні точно відображати ідентифіковані TTP та бути спрямовані на генерацію точної телеметрії, очікуваної логікою виявлення. Абстрактні або несумісні приклади призведуть до неправильної діагностики.
-
Наратив атаки та команди: Противник прагне встановити закріплення, завантажуючи вторинне етапне навантаження. Щоб уникнути виявлення базовими інструментами, що працюють на підписах, вони зазвичай використовують спеціальні модулі завантажувачів. У цій симуляції ми спочатку виконаємо “виявлювану” версію, щоб підтвердити, що правило працює, а потім виконаємо “заплутану” версію, щоб продемонструвати слабкість правила. Мета – симулювати виконання
модуля, який отримує інструкції C2 з файлу, розміщеного в хмарі.module which fetches C2 instructions from a cloud-hosted file. -
Скрипт регресійного тестування:
# --- ЧАСТИНА 1: УСПІШНЕ ВИЯВЛЕННЯ (Гучна атака) --- Write-Host "[+] Виконання виявлюваної команди..." powershell.exe -ExecutionPolicy Bypass -Command "& {Write-Host 'Ініціалізація завантажувача PteroDee...'; Start-Sleep -s 2}" # --- ЧАСТИНА 2: ТЕСТ НА УХИЛЯННЯ (Тиха атака) --- # Це демонструє, як противник обходить правило за допомогою конкатенації рядків Write-Host "[+] Виконання заплутаної команди (Ухилення)..." $part1 = "Ptero" $part2 = "Dee" $cmd = "& {Write-Host 'Ініціалізація ' + '$part1' + '$part2' + ' завантажувача...'; Start-Sleep -s 2}" powershell.exe -ExecutionPolicy Bypass -Command $cmd Write-Host "[+] Симуляція завершена." -
Команди очищення:
# Ніякі постійні зміни не внесено в систему. # Просто очистіть історію PowerShell для поточної сесії. Clear-History