Attacchi APT prendono di mira il governo indiano con GOGITTER, GITSHELLPAD e GOSHELL | Parte 1
Detection stack
- AIDR
- Alert
- ETL
- Query
Sommario
Zscaler ThreatLabz ha scoperto due campagne – Gopher Strike e Sheet Attack gestite da un gruppo APT collegato al Pakistan che ha come obiettivo le organizzazioni governative indiane. L’attività introduce strumenti basati su Golang, tra cui GOGITTER, GITSHELLPAD e GOSHELL, per mettere in scena payload, utilizzare repository GitHub privati per C2 e infine distribuire un beacon di Cobalt Strike. L’accesso iniziale è ottenuto attraverso spearphishing con PDF che attirano le vittime a scaricare file ISO dannosi. Gli operatori stratificano più metodi di evasione, inclusi controlli ambientali, padding dei file e persistenza di task pianificati.
Indagine
L’analisi ha mostrato che GOGITTER verifica la presenza di uno script windows_api.vbs, lo crea se assente e registra un task pianificato per eseguirlo ogni 50 minuti. GITSHELLPAD utilizza l’API REST di GitHub per il recupero di comandi e l’esfiltrazione di dati, mentre GOSHELL carica condizionalmente un beacon di Cobalt Strike solo su host selezionati. Gli strumenti incorporano URL codificati e stringhe user agent per ostacolare l’analisi automatizzata e il sandboxing. Le campagne hanno anche utilizzato repository GitHub privati per ospitare payload di supporto come adobe_update.zip.
Mitigazione
Blocca l’esecuzione di binari Golang non fidati/senza firma e applica rigorose liste di permessi e revisioni per la creazione di task pianificati. Monitora il traffico in uscita verso domini noti pericolosi e verso le risorse GitHub utilizzate come C2, compreso un uso anomalo dell’API GitHub da punti finali non sviluppatori. Rafforza la sicurezza delle email scansionando gli allegati PDF alla ricerca di offuscamenti e bloccando i link che reindirizzano ai download ISO. Le rilevazioni sugli endpoint dovrebbero allertare sulla creazione dell’windows_api.vbs e sui modelli di esecuzione periodica di task coerenti con intervalli di 50 minuti.
Risposta
Se si rilevano IOCs, isola il punto finale, interrompi e rimuovi il task pianificato e elimina gli artefatti maligni associati. Effettua una revisione forense dell’attività C2 basata su GitHub, preserva i log di esecuzione dei comandi e rimuovi eventuali contenuti esfiltrati o caricati laddove possibile. Reimposta le credenziali per gli account compromessi, effettua una ricerca per movimenti laterali e aggiorna le rilevazioni con indicatori estratti per identificare attività correlata nell’intero ambiente.
Flusso di Attacco
Rilevamenti
Tentativi Possibili di Comunicazioni con Dominio di Ricerca di IP (via dns)
Visualizza
Processo Sospetto Utilizza una URL nella Riga di Comando (via cmdline)
Visualizza
Uso Sospetto di CURL (via cmdline)
Visualizza
Possibile Enumerazione del Sistema (via cmdline)
Visualizza
Possibile Enumerazione di Account o Gruppi (via cmdline)
Visualizza
File Estratti Sospetti da un Archivio (via file_event)
Visualizza
Possibile Scoperta della Configurazione di Rete del Sistema (via cmdline)
Visualizza
IOC (HashSha1) da rilevare: Attacchi APT che prendono di mira il governo indiano usando GOGITTER, GITSHELLPAD, e GOSHELL | Parte 1
Visualizza
IOC (HashMd5) da rilevare: Attacchi APT che prendono di mira il governo indiano usando GOGITTER, GITSHELLPAD, e GOSHELL | Parte 1
Visualizza
IOC (HashSha256) da rilevare: Attacchi APT che prendono di mira il governo indiano usando GOGITTER, GITSHELLPAD, e GOSHELL | Parte 1
Visualizza
Rilevazione del Backdoor GITSHELLPAD e Comandi di Pulizia [Creazione Processo Windows]
Visualizza
Rilevazione del Downloader GOGITTER e Comunicazione C2 [Connessione di Rete Windows]
Visualizza
Esecuzione di Simulazione
Prerequisito: Il Controllo Pre-volo di Telemetria & Baseline deve essere passato.
Motivazione: Questa sezione dettaglia l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente i TTP identificati e mirano a generare la telemetria esatta prevista dalla logica di rilevamento. Esempi astratti o non correlati porteranno a diagnosi errate.
-
Narrazione & Comandi di Attacco:
Un gruppo APT distribuisce il backdoor GITSHELLPAD (edgehost.exe) su un host Windows compromesso. Per confondersi con il comportamento di sistema previsto, l’attaccante lancia il backdoor tramite la shell dei comandi di Windows (cmd /c). Dopo aver completato il suo payload (ad es. scaricando moduli aggiuntivi), il backdoor esegue una “pulizia” terminando il proprio processo usandotaskkill /F /PID <PID>. Entrambe le azioni generano eventi di creazione di processi che contengono il nome del binario e le sottostringe richieste della linea di comando, soddisfacendo la regola Sigma. -
Script di Test di Regressione:
# ------------------------------------------------- # Simula l'esecuzione del backdoor GITSHELLPAD & pulizia # ------------------------------------------------- # 1. Droppa un placeholder edgehost.exe (qualsiasi eseguibile benigno) $src = "$env:SystemRootSystem32notepad.exe" $dst = "$env:TEMPedgehost.exe" Copia-Item -Path $src -Destination $dst -Force # 2. Lancia edgehost.exe tramite cmd /c (abbina lo schema cmd_cmd) $proc = Start-Process -FilePath "cmd.exe" -ArgumentList "/c `"$dst`"" -PassThru # 3. Attendi alcuni secondi per assicurarti che il processo sia vivo Start-Sleep -Secondi 5 # 4. Pulizia: termina il processo edgehost.exe usando taskkill (abbina lo schema taskkill_cmd) $pid = $proc.Id cmd /c "taskkill /F /PID $pid" # 5. Rimuovi il file droppato Remove-Item -Path $dst -Force -
Comandi di Pulizia:
# Assicurati che tutte eventuali istanze stray di edgehost.exe siano terminate Get-Process -Nome "edgehost" -ErrorAction SilentlyContinue | Stop-Process -Force # Elimina il binario temporaneo se ancora presente $temporaryPath = "$env:TEMPedgehost.exe" if (Test-Path $temporaryPath) { Remove-Item $temporaryPath -Force }