Il Toolkit in Evoluzione di Gamaredon: GammaPhish e GammaWorm

Riepilogo

Gamaredon, un gruppo APT supportato dallo stato russo, continua a condurre operazioni di spionaggio a lungo termine contro istituzioni governative ucraine, enti militari e infrastrutture critiche. La sua catena di infezione modulare inizia con un documento di spearphishing, sfrutta un difetto di attraversamento dei percorsi di WinRAR e poi si affida a VBScript, stream di dati alternati e resolver dead-drop per diffondersi, persistere e recuperare ulteriori payload. La campagna utilizza anche servizi legittimi come Telegram, Cloudflare e Supabase per attività di comando e controllo. La rilevazione rimane difficile perché gli attaccanti abusano pesantemente della funzionalità integrata di Windows e dei metodi di esecuzione senza file.

Indagine

Sekoia TDR ha ricostruito la catena di intrusione di gennaio 2026 esaminando oltre 70 artefatti raccolti da sistemi compromessi. La loro analisi ha identificato il componente di phishing iniziale, GammaPhish, seguito dal loader VBScript GammaLoad, dal worm auto-propagante GammaWorm e dallo stealer PowerShell GammaSteel, che memorizza i moduli nel registro. I ricercatori hanno anche documentato l’uso da parte di GammaWorm di stream di dati alternati e attività pianificate per la persistenza, insieme a richieste di rete ripetute a più domini di resolver dead-drop. L’indagine ha mappato come ciascun componente supportava la catena di infezione più ampia e una presenza a lungo termine.

Mitigazione

Poiché il malware può recuperare continuamente nuovi payload attraverso resolver dead-drop, l’approccio di rimedio più sicuro è spesso una ricostruzione completa del sistema. Gli sforzi difensivi dovrebbero concentrarsi sul rilevamento della creazione sospetta di stream di dati alternativi, modifiche al registro RunOnce, attività pianificate con nomi insoliti e traffico in uscita da processi non browser verso domini di resolver noti. Bloccare l’infrastruttura di comando e controllo identificata e applicare controlli di scansione rigorosi agli allegati e-mail può anche ridurre la probabilità di compromissione iniziale.

Risposta

Se viene rilevata questa attività, isolare immediatamente l’host interessato, raccogliere prove volatili ed eseguire un’acquisizione forense completa. Rimuovere i file nascosti in stream di dati alternativi, eliminare la voce del registro RunOnce dannosa e disabilitare eventuali attività pianificate correlate. I domini di resolver noti e gli indirizzi IP dovrebbero essere bloccati al bordo della rete e i rilevamenti degli endpoint dovrebbero essere aggiornati per identificare le linee di comando osservate e i modelli di esecuzione senza file.

Esecuzione di Simulazione

Prerequisito: Il Pre-flight Check di Telemetria & Baseline deve essere superato.

Motivazione: Questa sezione descrive l’esecuzione precisa della tecnica avversaria (T1564.007) progettata per attivare la regola di rilevamento. I comandi e la narrativa producono direttamente la telemetria prevista dalla logica di rilevamento.

• Narrativa dell’Attacco & Comandi:
  Un operatore ha ottenuto il payload di GammaWorm (un PE compilato) e desidera ottenere persistenza rimanendo nascosto dalle normali liste di file. L’attaccante scrive il payload in un NTFS Alternate Data Stream chiamato GTR nella directory del profilo utente. Windows tratterà l’ADS come parte del file normale (%USERPROFILE%gamma.exe:GTR). Poiché il nome dell’ADS corrisponde alla lista hard-coded della regola, qualsiasi evento di creazione file che include “:GTR” sotto %USERPROFILE% attiverà il rilevamento.

  # Step 1 – Preparare un binario dannoso dummy (es. un comando base64-encoded PowerShell in un'unica riga)
  $malicious = [System.Convert]::FromBase64String(
      "TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA" +
      "AAAAAAAAAAAAAAAwAAAAA4AAAAA")
  $payloadPath = "$env:USERPROFILEgamma.exe"
  
  # Step 2 – Scrivere il binario nel file primario (opzionale; l'ADS può esistere senza un file primario)
  [IO.File]::WriteAllBytes($payloadPath, $malicious)
  
  # Step 3 – Scrivere lo stesso binario (o un payload diverso) nell'ADS chiamato GTR
  $adsPath = "$payloadPath:GTR"
  Set-Content -Path $adsPath -Value $malicious -Encoding Byte

• Script di Test di Regresso: (autosufficiente; può essere eseguito su qualsiasi host Windows con PowerShell 5+)

  # Simulazione di Persistenza ADS GammaWorm – attiva la regola di rilevamento
  try {
      # Creare un file host segnaposto
      $hostFile = "$env:USERPROFILEgamma.exe"
      $dummyBytes = [byte[]] (0x4D,0x5A,0x90,0x00) # Intestazione PE minima
      [IO.File]::WriteAllBytes($hostFile, $dummyBytes)
  
      # Scrivere il payload dannoso nell'ADS chiamato "GTR"
      $ads = "$hostFile:GTR"
      Set-Content -Path $ads -Value $dummyBytes -Encoding Byte
  
      Write-Host "ADS 'GTR' creato con successo su $ads"
  } catch {
      Write-Error "Simulazione fallita: $_"
  }

• Comandi di Pulizia:

  # Rimuovere l'ADS e il file host segnaposto
  $hostFile = "$env:USERPROFILEgamma.exe"
  $ads = "$hostFile:GTR"
  
  # Eliminare l'ADS (richiede Sysinternals Streams.exe o PowerShell 5+)
  if (Test-Path $ads) {
      Remove-Item -Path $ads -Force
      Write-Host "Rimosso ADS GTR."
  }
  
  # Eliminare il file principale
  if (Test-Path $hostFile) {
      Remove-Item -Path $hostFile -Force
      Write-Host "Rimosso file host gamma.exe."
  }