SOC Prime Bias: Kritisch

30 Jun 2026 07:05 UTC

Gamaredon im Jahr 2025: Tunnel, Arbeiter, Tote Briefkästen und Neue Allianzen

Author Photo
SOC Prime Team linkedin icon Folgen
Gamaredon im Jahr 2025: Tunnel, Arbeiter, Tote Briefkästen und Neue Allianzen
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Zusammenfassung

Gamaredon, eine mit Russland verbündete APT-Gruppe, hat ihre Operationen im Jahr 2025 weiter angepasst, indem sie legitime Drittanbieterdienste missbraucht, um Infrastruktur für Befehls- und Kontrollserver sowie Datendiebstahl zu verschleiern. Die Gruppe verlässt sich auf Tunnel, Worker und tote Briefkästen wie Telegram und Dropbox, um schädlichen Datenverkehr zu verbergen. Sie hat auch neue PowerShell-basierte Werkzeuge eingeführt und ihre Dateidiebe aktualisiert, um die Exfiltration zu S3-kompatiblen Cloud-Speichern zu unterstützen.

Untersuchung

ESET Research hat die Operationen von Gamaredon im Jahr 2025 untersucht und einen Wechsel hin zu größeren Spearphishing-Kampagnen in Kombination mit HTML-Schmuggeltechniken beobachtet. Die Untersuchung identifizierte neue Auslieferungstools, stärkere Nutzung von Cloudflare Workern und Tunneln sowie weiterhin die Abhängigkeit von Dead-Drop-Resolvern. Forscher dokumentierten auch die Zusammenarbeit mit anderen Russland-verbundenen Akteuren, darunter Turla.

Abmilderung

Verteidiger sollten auf ungewöhnliche ausgehende Verbindungen zu legitimen Cloud-Speicherplattformen und serverlosen Diensten achten. Die Durchsetzung strenger Kontrollen über die Ausführung von HTA und VBScript kann helfen, die frühen Phasen einer Infektion zu blockieren. Auch das Monitoring des Missbrauchs von dynamischen DNS-Diensten und häufig verwendeten Dead-Drop-Plattformen wird empfohlen.

Antwort

Sollte ein Gamaredon-Aktivität entdeckt werden, sollten betroffene Systeme sofort isoliert werden, um weitere Bewegungen über waffenfähige USB-Geräte oder Netzfreigaben zu verhindern. Ermittler sollten eine vollständige Überprüfung jeglichen unbefugten Zugriffs auf Cloud-Speicher-Konten durchführen. Auch die Telemetrie sollte auf Verbindungen zu bekannten Tunnel- und Workerdiensten der Gruppe überprüft werden.

Angriffsfluss

Simulatorische Ausführung

Voraussetzung: Die Telemetrie- & Basislinien-Vorkontrollprüfung muss bestanden sein.

Begründung: Dieser Abschnitt beschreibt die präzise Ausführung der gegnerischen Technik (TTP), die darauf abzielt, die Erkennungsregel auszulösen. Die Befehle und Erzählung MÜSSEN die identifizierten TTPs direkt widerspiegeln und darauf abzielen, die genaue Telemetrie zu generieren, die von der Erkennungslogik erwartet wird. Abstrakte oder nicht verwandte Beispiele führen zu einer Fehldiagnose.

  • Angriffs-Narrative & Befehle: Der Angreifer zielt darauf ab, einen Fuß in der Tür zu schaffen, indem ein sekundäres Nutzlast heruntergeladen wird. Um von grundlegenden signaturbasierten Tools nicht entdeckt zu werden, verwenden sie typischerweise spezifische Download-Module. In dieser Simulation werden wir zunächst die „erkennbare“ Version ausführen, um zu bestätigen, dass die Regel funktioniert, und dann eine „verschleierte“ Version ausführen, um die Schwäche der Regel zu demonstrieren. Das Ziel ist es, die Ausführung des PteroDee Modul zu simulieren, das C2-Anweisungen aus einer cloud-gehosteten Datei abruft.

  • Regressionstest-Skript:

    # --- TEIL 1: ERFOLGREICHE ERKENNUNG (Der "Laute" Angriff) ---
    Write-Host "[+] Ausführen des erkennbaren Befehls..."
    powershell.exe -ExecutionPolicy Bypass -Command "& {Write-Host 'PteroDee-Downloader initialisieren...'; Start-Sleep -s 2}"
    
    # --- TEIL 2: AUSWEICHTEST (Der "Heimliche" Angriff) ---
    # Dies demonstriert, wie ein Angreifer die Regel mithilfe von Zeichenkettenverknüpfung umgeht
    Write-Host "[+] Ausführen des verschleierten Befehls (Evasion)..."
    $part1 = "Ptero"
    $part2 = "Dee"
    $cmd = "& {Write-Host 'Initialisieren von ' + '$part1' + '$part2' + ' Downloader...'; Start-Sleep -s 2}"
    powershell.exe -ExecutionPolicy Bypass -Command $cmd
    
    Write-Host "[+] Simulation abgeschlossen."
  • Aufräumbefehle:

    # Keine dauerhaften Änderungen am System vorgenommen. 
    # Löschen Sie einfach den PowerShell-Verlauf für die aktuelle Sitzung.
    Clear-History