Gamaredon im Jahr 2025: Tunnel, Arbeiter, Tote Briefkästen und Neue Allianzen
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Gamaredon, eine mit Russland verbündete APT-Gruppe, hat ihre Operationen im Jahr 2025 weiter angepasst, indem sie legitime Drittanbieterdienste missbraucht, um Infrastruktur für Befehls- und Kontrollserver sowie Datendiebstahl zu verschleiern. Die Gruppe verlässt sich auf Tunnel, Worker und tote Briefkästen wie Telegram und Dropbox, um schädlichen Datenverkehr zu verbergen. Sie hat auch neue PowerShell-basierte Werkzeuge eingeführt und ihre Dateidiebe aktualisiert, um die Exfiltration zu S3-kompatiblen Cloud-Speichern zu unterstützen.
Untersuchung
ESET Research hat die Operationen von Gamaredon im Jahr 2025 untersucht und einen Wechsel hin zu größeren Spearphishing-Kampagnen in Kombination mit HTML-Schmuggeltechniken beobachtet. Die Untersuchung identifizierte neue Auslieferungstools, stärkere Nutzung von Cloudflare Workern und Tunneln sowie weiterhin die Abhängigkeit von Dead-Drop-Resolvern. Forscher dokumentierten auch die Zusammenarbeit mit anderen Russland-verbundenen Akteuren, darunter Turla.
Abmilderung
Verteidiger sollten auf ungewöhnliche ausgehende Verbindungen zu legitimen Cloud-Speicherplattformen und serverlosen Diensten achten. Die Durchsetzung strenger Kontrollen über die Ausführung von HTA und VBScript kann helfen, die frühen Phasen einer Infektion zu blockieren. Auch das Monitoring des Missbrauchs von dynamischen DNS-Diensten und häufig verwendeten Dead-Drop-Plattformen wird empfohlen.
Antwort
Sollte ein Gamaredon-Aktivität entdeckt werden, sollten betroffene Systeme sofort isoliert werden, um weitere Bewegungen über waffenfähige USB-Geräte oder Netzfreigaben zu verhindern. Ermittler sollten eine vollständige Überprüfung jeglichen unbefugten Zugriffs auf Cloud-Speicher-Konten durchführen. Auch die Telemetrie sollte auf Verbindungen zu bekannten Tunnel- und Workerdiensten der Gruppe überprüft werden.
Angriffsfluss
Erkennungen
Mögliche Dateninfiltration / -exfiltration / C2 über Drittanbieterdienste / -tools (via cmdline)
Anzeigen
Mögliche Dateninfiltration / -exfiltration / C2 über Drittanbieterdienste / -tools (via dns_query)
Anzeigen
Verdächtige Prozess-DNS-Abfrage bekannter missbräuchlicher Webdienste (via network_connection)
Anzeigen
Möglicher Missbrauch der Visual Studio Code API als C2-Kanal (via dns_query)
Anzeigen
Möglicher Missbrauch der Visual Studio Code API als C2-Kanal (via proxy)
Anzeigen
Verdächtige Trycloudflare-Domänenkommunikation (via dns)
Anzeigen
Verdächtige binäre Dateien / Skripte im Autostart-Standort (via file_event)
Anzeigen
Möglicher CVE-2025-8088 / CVE-2025-6218 (WinRAR-Schwachstelle) Exploitation-Versuch (via file_event)
Anzeigen
Möglicher Telegram-Missbrauch als Kommando- und Kontrollkanal (via dns_query)
Anzeigen
Erkennung von PteroSetup und WinRAR CVE-2025-8088 Ausnutzung [Windows-Prozess-Erstellung]
Anzeigen
Erkennung der PowerShell-Downloader von Gamaredon [Windows PowerShell]
Anzeigen
Simulatorische Ausführung
Voraussetzung: Die Telemetrie- & Basislinien-Vorkontrollprüfung muss bestanden sein.
Begründung: Dieser Abschnitt beschreibt die präzise Ausführung der gegnerischen Technik (TTP), die darauf abzielt, die Erkennungsregel auszulösen. Die Befehle und Erzählung MÜSSEN die identifizierten TTPs direkt widerspiegeln und darauf abzielen, die genaue Telemetrie zu generieren, die von der Erkennungslogik erwartet wird. Abstrakte oder nicht verwandte Beispiele führen zu einer Fehldiagnose.
-
Angriffs-Narrative & Befehle: Der Angreifer zielt darauf ab, einen Fuß in der Tür zu schaffen, indem ein sekundäres Nutzlast heruntergeladen wird. Um von grundlegenden signaturbasierten Tools nicht entdeckt zu werden, verwenden sie typischerweise spezifische Download-Module. In dieser Simulation werden wir zunächst die „erkennbare“ Version ausführen, um zu bestätigen, dass die Regel funktioniert, und dann eine „verschleierte“ Version ausführen, um die Schwäche der Regel zu demonstrieren. Das Ziel ist es, die Ausführung des
PteroDeeModul zu simulieren, das C2-Anweisungen aus einer cloud-gehosteten Datei abruft. -
Regressionstest-Skript:
# --- TEIL 1: ERFOLGREICHE ERKENNUNG (Der "Laute" Angriff) --- Write-Host "[+] Ausführen des erkennbaren Befehls..." powershell.exe -ExecutionPolicy Bypass -Command "& {Write-Host 'PteroDee-Downloader initialisieren...'; Start-Sleep -s 2}" # --- TEIL 2: AUSWEICHTEST (Der "Heimliche" Angriff) --- # Dies demonstriert, wie ein Angreifer die Regel mithilfe von Zeichenkettenverknüpfung umgeht Write-Host "[+] Ausführen des verschleierten Befehls (Evasion)..." $part1 = "Ptero" $part2 = "Dee" $cmd = "& {Write-Host 'Initialisieren von ' + '$part1' + '$part2' + ' Downloader...'; Start-Sleep -s 2}" powershell.exe -ExecutionPolicy Bypass -Command $cmd Write-Host "[+] Simulation abgeschlossen." -
Aufräumbefehle:
# Keine dauerhaften Änderungen am System vorgenommen. # Löschen Sie einfach den PowerShell-Verlauf für die aktuelle Sitzung. Clear-History