Gamaredon em 2025: Túneis, Trabalhadores, Ponto Morto e Novas Alianças
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
O Gamaredon, um grupo APT alinhado à Rússia, adaptou ainda mais suas operações em 2025 ao abusar de serviços legítimos de terceiros para ocultar infraestrutura de comando e controle e atividade de roubo de dados. O grupo depende de túneis, trabalhadores e plataformas de dead-drop, como Telegram e Dropbox, para obscurecer o tráfego malicioso. Também introduziu novas ferramentas baseadas em PowerShell e atualizou seus ladrões de arquivos para suportar a exfiltração para armazenamento em nuvem compatível com S3.
Investigação
A ESET Research revisou as operações do Gamaredon em 2025 e observou uma mudança em direção a campanhas de spearphishing de maior escala combinadas com técnicas de contrabando de HTML. A investigação identificou novas ferramentas de entrega, uso maior de trabalhadores e túneis do Cloudflare e contínua dependência de resolutores de dead-drop. Pesquisadores também documentaram cooperação com outros atores alinhados à Rússia, incluindo o Turla.
Mitigação
Os defensores devem monitorar conexões de saída incomuns para plataformas legítimas de armazenamento em nuvem e serviços sem servidor. Aplicar controles rigorosos sobre a execução de HTA e VBScript pode ajudar a bloquear os estágios iniciais de infecção. Monitorar abusos de serviços de DNS dinâmico e plataformas de dead-drop comumente usadas também é recomendado.
Resposta
Se a atividade do Gamaredon for detectada, sistemas afetados devem ser isolados imediatamente para prevenir movimento adicional através de dispositivos USB armados ou compartilhamentos de rede. Investigadores devem realizar uma revisão completa de qualquer acesso não autorizado a contas de armazenamento em nuvem. A telemetria também deve ser verificada para conexões com serviços de túnel e trabalhadores conhecidos associados ao grupo.
Fluxo de Ataque
Detecções
Possível Infiltração de Dados / Exfiltração / C2 via Serviços Terceirizados / Ferramentas (via linha de comando)
Ver
Possível Infiltração de Dados / Exfiltração / C2 via Serviços Terceirizados / Ferramentas (via dns_query)
Ver
Consulta DNS de Processo Suspeita Conhecida por Abusar de Serviços Web (via conexão de rede)
Ver
Possível Abuso da API do Visual Studio Code Como Canal de C2 (via dns_query)
Ver
Possível Abuso da API do Visual Studio Code Como Canal de C2 (via proxy)
Ver
Comunicação de Domínio Trycloudflare Suspeita (via dns)
Ver
Binário / Scripts Suspeitos na Localização de Inicialização Automática (via evento de arquivo)
Ver
Possível Tentativa de Exploração da CVE-2025-8088 / CVE-2025-6218 (Vulnerabilidade do WinRAR) (via evento de arquivo)
Ver
Possível Abuso do Telegram Como Canal de Comando e Controle (via dns_query)
Ver
Detecção de Exploração de PteroSetup e WinRAR CVE-2025-8088 [Criação de Processo no Windows]
Ver
Detecção dos Downloaders do Gamaredon em PowerShell [Windows Powershell]
Ver
Execução de Simulação
Pré-requisito: A Verificação Pré-voo de Telemetria & Linha de Base deve ter sido aprovada.
Racional: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visar gerar exatamente a telemetria esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a diagnósticos equivocados.
-
Narrativa do Ataque & Comandos: O adversário visa estabelecer uma posição baixando uma carga útil de segunda fase. Para evitar a detecção por ferramentas básicas baseadas em assinatura, eles geralmente usam módulos de downloader específicos. Nesta simulação, executaremos primeiro a versão “detectável” para confirmar que a regra funciona, e então executaremos uma versão “ofuscada” para demonstrar a fraqueza da regra. O objetivo é simular a execução do
módulo PteroDee que busca instruções de C2 de um arquivo hospedado em nuvem.Script de Teste de Regressão: -
Regression Test Script:
# --- PARTE 1: DETECÇÃO BEM-SUCEDIDA (O ataque "barulhento") --- Write-Host "[+] Executando comando detectável..." powershell.exe -ExecutionPolicy Bypass -Command "& {Write-Host 'Inicializando PteroDee downloader...'; Start-Sleep -s 2}" # --- PARTE 2: TESTE DE EVASÃO (O ataque "discreto") --- # Isso demonstra como um adversário contorna a regra usando concatenação de strings Write-Host "[+] Executando comando ofuscado (Evasão)..." $part1 = "Ptero" $part2 = "Dee" $cmd = "& {Write-Host 'Inicializando ' + '$part1' + '$part2' + ' downloader...'; Start-Sleep -s 2}" powershell.exe -ExecutionPolicy Bypass -Command $cmd Write-Host "[+] Simulação Completa." -
Comandos de Limpeza:
# Nenhuma alteração permanente feita no sistema. # Basta limpar o histórico do PowerShell para a sessão atual. Clear-History