SOC Prime Bias: Critico

29 Jan 2026 15:34 UTC

Attacchi APT prendono di mira il governo indiano con GOGITTER, GITSHELLPAD e GOSHELL | Parte 1

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Segui
Attacchi APT prendono di mira il governo indiano con GOGITTER, GITSHELLPAD e GOSHELL | Parte 1
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Sommario

Zscaler ThreatLabz ha scoperto due campagne – Gopher Strike e Sheet Attack gestite da un gruppo APT collegato al Pakistan che ha come obiettivo le organizzazioni governative indiane. L’attività introduce strumenti basati su Golang, tra cui GOGITTER, GITSHELLPAD e GOSHELL, per mettere in scena payload, utilizzare repository GitHub privati per C2 e infine distribuire un beacon di Cobalt Strike. L’accesso iniziale è ottenuto attraverso spearphishing con PDF che attirano le vittime a scaricare file ISO dannosi. Gli operatori stratificano più metodi di evasione, inclusi controlli ambientali, padding dei file e persistenza di task pianificati.

Indagine

L’analisi ha mostrato che GOGITTER verifica la presenza di uno script windows_api.vbs, lo crea se assente e registra un task pianificato per eseguirlo ogni 50 minuti. GITSHELLPAD utilizza l’API REST di GitHub per il recupero di comandi e l’esfiltrazione di dati, mentre GOSHELL carica condizionalmente un beacon di Cobalt Strike solo su host selezionati. Gli strumenti incorporano URL codificati e stringhe user agent per ostacolare l’analisi automatizzata e il sandboxing. Le campagne hanno anche utilizzato repository GitHub privati ​​per ospitare payload di supporto come adobe_update.zip.

Mitigazione

Blocca l’esecuzione di binari Golang non fidati/senza firma e applica rigorose liste di permessi e revisioni per la creazione di task pianificati. Monitora il traffico in uscita verso domini noti pericolosi e verso le risorse GitHub utilizzate come C2, compreso un uso anomalo dell’API GitHub da punti finali non sviluppatori. Rafforza la sicurezza delle email scansionando gli allegati PDF alla ricerca di offuscamenti e bloccando i link che reindirizzano ai download ISO. Le rilevazioni sugli endpoint dovrebbero allertare sulla creazione dell’windows_api.vbs e sui modelli di esecuzione periodica di task coerenti con intervalli di 50 minuti.

Risposta

Se si rilevano IOCs, isola il punto finale, interrompi e rimuovi il task pianificato e elimina gli artefatti maligni associati. Effettua una revisione forense dell’attività C2 basata su GitHub, preserva i log di esecuzione dei comandi e rimuovi eventuali contenuti esfiltrati o caricati laddove possibile. Reimposta le credenziali per gli account compromessi, effettua una ricerca per movimenti laterali e aggiorna le rilevazioni con indicatori estratti per identificare attività correlata nell’intero ambiente.

Flusso di Attacco

Rilevamenti

Esecuzione di Simulazione

Prerequisito: Il Controllo Pre-volo di Telemetria & Baseline deve essere passato.

Motivazione: Questa sezione dettaglia l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente i TTP identificati e mirano a generare la telemetria esatta prevista dalla logica di rilevamento. Esempi astratti o non correlati porteranno a diagnosi errate.

  • Narrazione & Comandi di Attacco:
    Un gruppo APT distribuisce il backdoor GITSHELLPAD (edgehost.exe) su un host Windows compromesso. Per confondersi con il comportamento di sistema previsto, l’attaccante lancia il backdoor tramite la shell dei comandi di Windows (cmd /c). Dopo aver completato il suo payload (ad es. scaricando moduli aggiuntivi), il backdoor esegue una “pulizia” terminando il proprio processo usando taskkill /F /PID <PID>. Entrambe le azioni generano eventi di creazione di processi che contengono il nome del binario e le sottostringe richieste della linea di comando, soddisfacendo la regola Sigma.

  • Script di Test di Regressione:

    # -------------------------------------------------
    # Simula l'esecuzione del backdoor GITSHELLPAD & pulizia
    # -------------------------------------------------
    # 1. Droppa un placeholder edgehost.exe (qualsiasi eseguibile benigno)
    $src = "$env:SystemRootSystem32notepad.exe"
    $dst = "$env:TEMPedgehost.exe"
    Copia-Item -Path $src -Destination $dst -Force
    
    # 2. Lancia edgehost.exe tramite cmd /c (abbina lo schema cmd_cmd)
    $proc = Start-Process -FilePath "cmd.exe" -ArgumentList "/c `"$dst`"" -PassThru
    
    # 3. Attendi alcuni secondi per assicurarti che il processo sia vivo
    Start-Sleep -Secondi 5
    
    # 4. Pulizia: termina il processo edgehost.exe usando taskkill (abbina lo schema taskkill_cmd)
    $pid = $proc.Id
    cmd /c "taskkill /F /PID $pid"
    
    # 5. Rimuovi il file droppato
    Remove-Item -Path $dst -Force
  • Comandi di Pulizia:

    # Assicurati che tutte eventuali istanze stray di edgehost.exe siano terminate
    Get-Process -Nome "edgehost" -ErrorAction SilentlyContinue | Stop-Process -Force
    
    # Elimina il binario temporaneo se ancora presente
    $temporaryPath = "$env:TEMPedgehost.exe"
    if (Test-Path $temporaryPath) { Remove-Item $temporaryPath -Force }