Gamaredons sich entfaltendes Toolkit: GammaPhish und GammaWorm

Zusammenfassung

Gamaredon, eine russische staatlich unterstützte APT-Gruppe, führt weiterhin langfristige Spionageoperationen gegen ukrainische Regierungsinstitutionen, militärische Einrichtungen und kritische Infrastrukturen durch. Seine modulare Infektionskette beginnt mit einem Spearphishing-Dokument, missbraucht eine WinRAR-Pfadumgehungsschwachstelle und verwendet dann VBScript, alternative Datenströme und Dead-Drop-Resolver, um sich zu verbreiten, zu persistieren und zusätzliche Nutzlasten abzurufen. Die Kampagne nutzt auch legitime Dienste wie Telegram, Cloudflare und Supabase für Kommando- und Kontrollaktivitäten. Die Erkennung bleibt herausfordernd, da die Angreifer stark auf die integrierte Windows-Funktionalität und dateilose Ausführungsmethoden zurückgreifen.

Untersuchung

Sekoia TDR rekonstruierte die Intrusionskette vom Januar 2026, indem es über 70 Artefakte von kompromittierten Systemen analysierte. Ihre Analyse identifizierte die initiale Phishing-Komponente, GammaPhish, gefolgt vom VBScript-Loader GammaLoad, dem sich selbst verbreitenden Wurm GammaWorm und dem PowerShell-Stealer GammaSteel, der Module im Registrierungsverzeichnis speichert. Forscher dokumentierten auch die Verwendung von alternativen Datenströmen und geplanten Aufgaben durch GammaWorm zur Persistenz, sowie wiederkehrende Netzwerkforderungen an mehrere Dead-Drop-Resolver-Domains. Die Untersuchung kartierte, wie jede Komponente die breitere Infektionskette und langfristigen Standfuß unterstützte.

Minderung

Da die Malware kontinuierlich neue Nutzlasten über Dead-Drop-Resolver abrufen kann, ist der sicherste Sanierungsansatz oft ein kompletter Systemneubau. Defensive Bemühungen sollten sich darauf konzentrieren, verdächtige alternative Datenstromerstellung, RunOnce-Registrierungsänderungen, geplante Aufgaben mit ungewöhnlichen Namen und ausgehenden Datenverkehr von Nicht-Browser-Prozessen zu bekannten Resolver-Domains zu erkennen. Das Blockieren identifizierter Kommando- und Kontrollinfrastruktur sowie die Anwendung strikter Scan-Kontrollen auf E-Mail-Anhänge kann auch die Wahrscheinlichkeit einer initialen Kompromittierung reduzieren.

Reaktion

Wenn diese Aktivität entdeckt wird, isolieren Sie den betroffenen Host sofort, sammeln Sie flüchtige Beweise und führen Sie eine vollständige forensische Erfassung durch. Entfernen Sie in alternativen Datenströmen versteckte Dateien, löschen Sie den bösartigen RunOnce-Registry-Eintrag und deaktivieren Sie alle zugehörigen geplanten Aufgaben. Bekannte Resolver-Domains und IP-Adressen sollten am Netzwand-Rand geblockt werden und Endpunkt-Erkennungssysteme sollten aktualisiert werden, um die beobachteten Befehlszeilen und dateilosen Ausführungsmuster zu identifizieren.

Simulationsausführung

Voraussetzung: Der Telemetrie- und Basislinien-Pre-Flight-Check muss bestanden haben.

Rationale: Dieser Abschnitt beschreibt die genaue Ausführung der Gegenstelle-Technik (T1564.007), die darauf ausgelegt ist, die Erkennungsregel auszulösen. Die Befehle und das Narrativ erzeugen direkt die von der Erkennungslogik erwartete Telemetrie.

• Angriffserzählung & Befehle:
  Ein Operator hat die GammaWorm-Nutzlast (ein kompiliertes PE) erlangt und möchte Persistenz erreichen, während er von herkömmlichen Dateiauflistungen verborgen bleibt. Der Angreifer schreibt die Nutzlast in einen NTFS-Alternativdatenstrom namens GTR innerhalb des Benutzerprofilverzeichnisses. Windows behandelt den ADS als Teil der normalen Datei (%USERPROFILE%gamma.exe:GTR). Da der ADS-Name mit der fest codierten Liste der Regel übereinstimmt, löst jedes Dateierstellungsereignis, das „:GTR“ unter %USERPROFILE% enthaltene, die Erkennung aus.

  # Schritt 1 – Vorbereitung einer Dummy-Malware-Datei (z.B. ein base64-codierte PowerShell-Einzeiler)
  $malicious = [System.Convert]::FromBase64String(
      "TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA" +
      "AAAAAAAAAAAAAAAwAAAAA4AAAAA")
  $payloadPath = "$env:USERPROFILEgamma.exe"
  
  # Schritt 2 – Schreibe die Datei in die primäre Datei (optional; der ADS kann ohne eine primäre Datei existieren)
  [IO.File]::WriteAllBytes($payloadPath, $malicious)
  
  # Schritt 3 – Schreibe die gleiche Datei (oder eine andere Nutzlast) in den ADS namens GTR
  $adsPath = "$payloadPath:GTR"
  Set-Content -Path $adsPath -Value $malicious -Encoding Byte

• Regressionstestskript: (eigenständig; kann auf jedem Windows-Host mit PowerShell 5+ ausgeführt werden)

  # GammaWorm ADS Persistenzsimulation – löst Erkennungsregel aus
  try {
      # Erstelle eine Platzhalter-Hostdatei
      $hostFile = "$env:USERPROFILEgamma.exe"
      $dummyBytes = [byte[]] (0x4D,0x5A,0x90,0x00) # Minimaler PE-Header
      [IO.File]::WriteAllBytes($hostFile, $dummyBytes)
  
      # Schreibe bösartige Nutzlast in den ADS namens "GTR"
      $ads = "$hostFile:GTR"
      Set-Content -Path $ads -Value $dummyBytes -Encoding Byte
  
      Write-Host "ADS 'GTR' erfolgreich erstellt in $ads"
  } catch {
      Write-Error "Simulation fehlgeschlagen: $_"
  }

• Bereinigungskommandos:

  # Entfernen Sie den ADS und die Platzhalter-Hostdatei
  $hostFile = "$env:USERPROFILEgamma.exe"
  $ads = "$hostFile:GTR"
  
  # Löschen Sie ADS (erfordert Sysinternals Streams.exe oder PowerShell 5+)
  if (Test-Path $ads) {
      Remove-Item -Path $ads -Force
      Write-Host "ADS GTR entfernt."
  }
  
  # Löschen Sie die Hauptdatei
  if (Test-Path $hostFile) {
      Remove-Item -Path $hostFile -Force
      Write-Host "Hostdatei gamma.exe entfernt."
  }