Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
O relatório descreve uma estrutura de carregador em múltiplas etapas usada pelo grupo Gamaredon, apoiado pelo estado russo, para preservar o acesso a longo prazo dentro de ambientes governamentais e de infraestrutura crítica ucranianos. Os carregadores são entregues através de plataformas de nuvem legítimas e serviços de mensagens, armazenam detalhes de comando e controle no registro do Windows e dependem de fluxos de dados alternativos e tarefas agendadas para acionar cargas úteis posteriores.
Investigação
A Sekoia.io reconstruiu três etapas de carregadores baseados em VBScript que recuperam código adicional de resolvedores de queda hospedados em serviços como Telegram, Telegraph e Check-Host. A segunda etapa escreve uma carga útil em um ADS sob %TEMP% e cria uma tarefa agendada, enquanto a terceira etapa lança um processo PowerShell oculto que baixa e executa o módulo final de roubo GammaSteel.
Mitigação
Os defensores devem monitorar para gravações de registro suspeitas sob HKCUConsole, tarefas agendadas inesperadas nomeadas DsSvcCleanup, uso anormal de fluxos de dados alternativos em %TEMP%, e tráfego de rede para domínios conhecidos do Cloudflare, Telegram e Check-Host. A execução de scripts VBScript e PowerShell não assinados que dependem de comandos codificados também deve ser bloqueada ou restrita.
Resposta
Se o comprometimento for detectado, isole imediatamente os hosts afetados, colete as chaves de registro relevantes e definições de tarefas agendadas, preserve arquivos relacionados ao ADS e bloqueie os domínios e endereços IP de comando e controle identificados. Realize a imagem forense e procure pelo ladrão GammaSteel tanto na memória quanto no disco.
"graph TB %% Class Definitions classDef technique fill:#99ccff classDef operator fill:#ff9900 classDef tool fill:#cccccc %% Node definitions initial_driveby["<b>Technique</b> – <b>T1189 Comprometimento Drive-By</b><br/><b>Descrição</b>: Comprometer um site para entregar conteúdo malicioso quando um usuário o visita."] class initial_driveby technique c2_deadDrop["<b>Technique</b> – <b>T1102.001 Resolver Dead Drop de Serviço Web</b><br/><b>Descrição</b>: Utilizar serviços web legítimos para trocar dados de comando e controle."] class c2_deadDrop technique c2_dynamic["<b>Technique</b> – <b>T1568 Resolução Dinâmica</b><br/><b>Descrição</b>: Resolver endereços de C2 dinamicamente para evitar a detecção."] class c2_dynamic technique execution_vbscript["<b>Technique</b> – <b>T1216.002 Execução de Proxy de Script do Sistema VBScript</b><br/><b>Descrição</b>: Executar VBScript malicioso através de proxy de script do sistema."] class execution_vbscript technique persistence_task["<b>Technique</b> – <b>T1053.005 Tarefa Agendada</b><br/><b>Descrição</b>: Criar uma tarefa agendada para manter a persistência."] class persistence_task technique priv_esc_reflect["<b>Technique</b> – <b>T1620 Carregamento de Código Reflexivo PowerShell</b><br/><b>Descrição</b>: Carregar código malicioso de forma reflexiva na memória usando PowerShell."] class priv_esc_reflect technique propagation_usb["<b>Technique</b> – <b>T1091 Reprodução Através de Mídia Removível</b><br/><b>Descrição</b>: Copiar arquivos maliciosos para drives USB para propagação."] class propagation_usb technique %% Connections showing attack flow initial_driveby –>|leads to| c2_deadDrop c2_deadDrop –>|uses| c2_dynamic c2_dynamic –>|enables| execution_vbscript execution_vbscript –>|establishes| persistence_task persistence_task –>|facilitates| priv_esc_reflect execution_vbscript –>|enables| propagation_usb "
Fluxo de Ataque
Detecções
A Possibilidade de Execução Através de Linhas de Comando do PowerShell Ocultas (via cmdline)
Visualizar
Chamar Métodos .NET Suspeitos do Powershell (via powershell)
Visualizar
LOLBAS WScript / CScript (via criação_de_processo)
Visualizar
Possível Abuso do Telegram como Canal de Comando e Controle (via consulta_dns)
Visualizar
Comunicação de Domínio Suspeita Trycloudflare (via dns)
Visualizar
Possível Abuso de Domínio de Desenvolvimento do Cloudflare (via dns)
Visualizar
IOCs (HashMd5) para detectar: Matryoshka #2/3 do FSB – presentes do Gamaredon que continua desembrulhando – GammaLoad
Visualizar
IOCs (SourceIP) para detectar: Matryoshka #2/3 do FSB – presentes do Gamaredon que continua desembrulhando – GammaLoad
Visualizar
IOCs (DestinationIP) para detectar: Matryoshka #2/3 do FSB – presentes do Gamaredon que continua desembrulhando – GammaLoad
Visualizar
Detecção de Execução em Memória PowerShell do Gamaredon [Windows Powershell]
Visualizar
Detecção de Atualizações de URL C2 do Gamaredon no Registro [Evento de Registro do Windows]
Visualizar
Execução de Simulação
Pré-requisito: A Verificação de Telemetria e Linha de Base Pré-voo deve ter sido aprovada.
Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados visando gerar a telemetria exata esperada pela lógica de detecção.
-
Narrativa & Comandos do Ataque:
O ator da ameaça, após comprometer a sessão do usuário, precisa atualizar seu endpoint de C2 para que futuros beacons alcancem um novo servidor. O Gamaredon armazena a URL em uma chave de registro bem conhecida sobHKCUConsole. O atacante usa PowerShell nativo (Set-ItemProperty) para escrever a nova URL, evitando quaisquer ferramentas de terceiros e, assim, permanecendo “vivendo da terra”. Esta ação gera um evento de configuração de valor do Registro (EventID 13) com o caminho completo, que corresponde à regra SigmaRegistryPath|containsfiltro.# Atualização Simulada de URL C2 do Gamaredon – escreve em uma chave monitorada $c2Url = "https://c2.gamaredon.exemplo.com/carga" $targetKey = "HKCU:ConsoleHistoryURL" New-Item -Path $targetKey -Force | Out-Null Set-ItemProperty -Path $targetKey -Name "URL" -Value $c2Url -
Script de Teste de Regressão: (PowerShell – autossuficiente)
<# Simula a atualização de URL C2 do Gamaredon em uma chave de registro monitorada pela regra Sigma. #> # Parâmetros (ajustar conforme necessário) $c2Url = "https://c2.gamaredon.exemplo.com/carga" $regPath = "HKCU:ConsoleHistoryURL" $valueName = "URL" # Certifique-se de que a chave exista if (-not (Test-Path $regPath)) { New-Item -Path $regPath -Force | Out-Null } # Escrever a URL C2 maliciosa Set-ItemProperty -Path $regPath -Name $valueName -Value $c2Url Write-Host "[*] URL C2 escrita em $regPath$valueName" -
Comandos de Limpeza: (PowerShell)
# Remover a chave/valor simulado para deixar o sistema limpo $regPath = "HKCU:ConsoleHistoryURL" if (Test-Path $regPath) { Remove-ItemProperty -Path $regPath -Name "URL" -ErrorAction SilentlyContinue # Opcionalmente remover a chave completamente Remove-Item -Path $regPath -Recurse -Force -ErrorAction SilentlyContinue Write-Host "[*] Limpeza de artefatos de registro simulados concluída." }