SOC Prime Bias: Crítico

30 Jun 2026 07:05 UTC

Gamaredon em 2025: Túneis, Trabalhadores, Ponto Morto e Novas Alianças

Author Photo
SOC Prime Team linkedin icon Seguir
Gamaredon em 2025: Túneis, Trabalhadores, Ponto Morto e Novas Alianças
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumo

O Gamaredon, um grupo APT alinhado à Rússia, adaptou ainda mais suas operações em 2025 ao abusar de serviços legítimos de terceiros para ocultar infraestrutura de comando e controle e atividade de roubo de dados. O grupo depende de túneis, trabalhadores e plataformas de dead-drop, como Telegram e Dropbox, para obscurecer o tráfego malicioso. Também introduziu novas ferramentas baseadas em PowerShell e atualizou seus ladrões de arquivos para suportar a exfiltração para armazenamento em nuvem compatível com S3.

Investigação

A ESET Research revisou as operações do Gamaredon em 2025 e observou uma mudança em direção a campanhas de spearphishing de maior escala combinadas com técnicas de contrabando de HTML. A investigação identificou novas ferramentas de entrega, uso maior de trabalhadores e túneis do Cloudflare e contínua dependência de resolutores de dead-drop. Pesquisadores também documentaram cooperação com outros atores alinhados à Rússia, incluindo o Turla.

Mitigação

Os defensores devem monitorar conexões de saída incomuns para plataformas legítimas de armazenamento em nuvem e serviços sem servidor. Aplicar controles rigorosos sobre a execução de HTA e VBScript pode ajudar a bloquear os estágios iniciais de infecção. Monitorar abusos de serviços de DNS dinâmico e plataformas de dead-drop comumente usadas também é recomendado.

Resposta

Se a atividade do Gamaredon for detectada, sistemas afetados devem ser isolados imediatamente para prevenir movimento adicional através de dispositivos USB armados ou compartilhamentos de rede. Investigadores devem realizar uma revisão completa de qualquer acesso não autorizado a contas de armazenamento em nuvem. A telemetria também deve ser verificada para conexões com serviços de túnel e trabalhadores conhecidos associados ao grupo.

Fluxo de Ataque

Execução de Simulação

Pré-requisito: A Verificação Pré-voo de Telemetria & Linha de Base deve ter sido aprovada.

Racional: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visar gerar exatamente a telemetria esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a diagnósticos equivocados.

  • Narrativa do Ataque & Comandos: O adversário visa estabelecer uma posição baixando uma carga útil de segunda fase. Para evitar a detecção por ferramentas básicas baseadas em assinatura, eles geralmente usam módulos de downloader específicos. Nesta simulação, executaremos primeiro a versão “detectável” para confirmar que a regra funciona, e então executaremos uma versão “ofuscada” para demonstrar a fraqueza da regra. O objetivo é simular a execução do módulo PteroDee que busca instruções de C2 de um arquivo hospedado em nuvem. Script de Teste de Regressão:

  • Regression Test Script:

    # --- PARTE 1: DETECÇÃO BEM-SUCEDIDA (O ataque "barulhento") ---
    Write-Host "[+] Executando comando detectável..."
    powershell.exe -ExecutionPolicy Bypass -Command "& {Write-Host 'Inicializando PteroDee downloader...'; Start-Sleep -s 2}"
    
    # --- PARTE 2: TESTE DE EVASÃO (O ataque "discreto") ---
    # Isso demonstra como um adversário contorna a regra usando concatenação de strings
    Write-Host "[+] Executando comando ofuscado (Evasão)..."
    $part1 = "Ptero"
    $part2 = "Dee"
    $cmd = "& {Write-Host 'Inicializando ' + '$part1' + '$part2' + ' downloader...'; Start-Sleep -s 2}"
    powershell.exe -ExecutionPolicy Bypass -Command $cmd
    
    Write-Host "[+] Simulação Completa."
  • Comandos de Limpeza:

    # Nenhuma alteração permanente feita no sistema. 
    # Basta limpar o histórico do PowerShell para a sessão atual.
    Clear-History