Gamaredon nel 2025: Tunneling, Operatori, Dead Drops e Nuove Alleanze
Detection stack
- AIDR
- Alert
- ETL
- Query
Riassunto
Gamaredon, un gruppo APT allineato alla Russia, ha ulteriormente adattato le sue operazioni nel 2025 sfruttando servizi legittimi di terze parti per nascondere l’infrastruttura di comando e controllo e l’attività di furto di dati. Il gruppo si affida a tunnel, worker, e piattaforme dead-drop come Telegram e Dropbox per oscurare il traffico dannoso. Ha anche introdotto nuovi strumenti basati su PowerShell e aggiornato i suoi file stealer per supportare l’esfiltrazione su cloud storage compatibili con S3.
Indagine
La ricerca di ESET ha esaminato le operazioni di Gamaredon del 2025 e ha osservato un passaggio verso campagne di spearphishing più ampie combinate con tecniche di HTML smuggling. L’indagine ha identificato nuovi strumenti di distribuzione, un uso più intensivo dei worker Cloudflare e tunnel, e un continuo affidamento a resolver dead-drop. I ricercatori hanno anche documentato la cooperazione con altri attori allineati con la Russia, tra cui Turla.
Mitigazione
I difensori dovrebbero monitorare per connessioni in uscita insolite verso piattaforme di cloud storage legittime e servizi serverless. Applicare controlli rigidi sull’esecuzione di HTA e VBScript può aiutare a bloccare le fasi iniziali dell’infezione. Si raccomanda inoltre di monitorare l’abuso dei servizi DNS dinamici e delle piattaforme dead-drop comunemente usate.
Risposta
Se viene rilevata un’attività di Gamaredon, i sistemi colpiti dovrebbero essere isolati immediatamente per prevenire ulteriori spostamenti tramite dispositivi USB armati o condivisioni di rete. Gli investigatori dovrebbero condurre una revisione completa di qualsiasi accesso non autorizzato agli account di cloud storage. Si dovrebbe anche controllare la telemetria per le connessioni ai servizi tunnel e worker noti associati al gruppo.
Flusso di Attacco
Rilevamenti
Possibile Infiltrazione/Esfiltrazione Dati/Comando e Controllo tramite Servizi/Strumenti di Terze Parti (via cmdline)
Visualizza
Possibile Infiltrazione/Esfiltrazione Dati/Comando e Controllo tramite Servizi/Strumenti di Terze Parti (via dns_query)
Visualizza
Query DNS di Processo Sospetta Conosciuti Servizi Web di Abuso (via network_connection)
Visualizza
Possibile Abuso API di Visual Studio Code come Canale di Comando e Controllo (via dns_query)
Visualizza
Possibile Abuso API di Visual Studio Code come Canale di Comando e Controllo (via proxy)
Visualizza
Comunicazione di Dominio Trycloudflare Sospetta (via dns)
Visualizza
Binary/Scripts Sospetti in Posizione di Avvio Automatico (via file_event)
Visualizza
Possibile Tentativo di Sfruttamento CVE-2025-8088 / CVE-2025-6218 (Vulnerabilità WinRAR) (via file_event)
Visualizza
Possibile Abuso di Telegram come Canale di Comando e Controllo (via dns_query)
Visualizza
Rilevamento di PteroSetup e Sfruttamento WinRAR CVE-2025-8088 [Creazione di Processo Windows]
Visualizza
Rilevamento dei Downloader PowerShell di Gamaredon [Windows Powershell]
Visualizza
Esecuzione di Simulazione
Prerequisito: Il Controllo Pre-volo di Telemetria & Baseline deve essere superato.
Motivo: Questa sezione dettaglia l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per innescare la regola di rilevamento. I comandi e la narrativa DEVONO riflettere direttamente i TTP identificati e mirare a generare la telemetria esatta prevista dalla logica di rilevamento. Esempi astratti o non correlati porteranno a diagnoosi errate.
-
Narrazione & Comandi dell’Attacco: L’avversario mira a stabilire un punto d’appoggio scaricando un payload di secondo stadio. Per evitare rilevamenti da strumenti basati su firme base, solitamente usano moduli downloader specifici. In questa simulazione, eseguiremo prima la versione “rilevabile” per confermare il funzionamento della regola, e poi eseguiremo una versione “oscurata” per dimostrare la debolezza della regola. Lo scopo è simulare l’esecuzione del
modulo che recupera istruzioni C2 da un file ospitato su cloud.Script di Test di Regressione: -
Regression Test Script:
# --- PARTE 1: RILEVAMENTO RIUSCITO (L'attacco "Rumoroso") --- Write-Host "[+] Esecuzione del comando rilevabile..." powershell.exe -ExecutionPolicy Bypass -Command "& {Write-Host 'Inizializzazione downloader PteroDee...'; Start-Sleep -s 2}" # --- PARTE 2: TEST DI EVASIONE (L'attacco "Silenzioso") --- # Questo dimostra come un avversario bypassi la regola usando concatenazione di stringhe Write-Host "[+] Esecuzione comando oscurato (Evasione)..." $part1 = "Ptero" $part2 = "Dee" $cmd = "& {Write-Host 'Inizializzazione ' + '$part1' + '$part2' + ' downloader...'; Start-Sleep -s 2}" powershell.exe -ExecutionPolicy Bypass -Command $cmd Write-Host "[+] Simulazione completata." -
Comandi di Pulizia:
# Nessuna modifica permanente apportata al sistema. # Semplicemente cancella la cronologia di PowerShell per la sessione corrente. Clear-History