GhostShell (MB-0009): Mirando as Operações de VANTs da Ucrânia e Cadeia de Suprimentos de Defesa
Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
Um novo cluster de ameaças rastreado, conhecido como GhostShell, está mirando no ecossistema de UAVs e drones mais amplo da Ucrânia. A operação utiliza malware avançado, incluindo implantes autenticados por mTLS e carregadores residentes na memória. Para obter acesso inicial, os atacantes confiam em documentos de isca que imitam uma empresa ucraniana de drones.
Investigação
O analista descobriu uma cadeia de intrusão de múltiplas etapas construída em torno de scripts VBS, implantes habilitados para mTLS como 122.exe, e carregadores baseados no Telegram, incluindo update.exe. A engenharia reversa expôs lógica de descriptografia personalizada XOR, um PKI privado embutido, e o uso do Xray Core para tunelamento encoberto. A investigação também identificou atividade do ladrão de informações Vidar dentro da mesma infraestrutura.
Mitigação
As organizações devem impor uma validação rigorosa de certificados mTLS e monitorar o uso não autorizado de certificados de cliente. A visibilidade do ponto de extremidade deve ser melhorada para detectar carregamentos na memória, ntdll.dll desencaixe, e alterações suspeitas na persistência da chave Run do Windows. As equipes também devem observar tráfego de saída anormal para domínios conhecidos de comando e controle e para recuperação de configuração mediada pelo Telegram.
Resposta
Os sistemas afetados devem ser isolados imediatamente, seguidos por forense de memória para identificar quaisquer implantes na memória. Os registros de rede devem ser revisados para tráfego envolvendo cloudaxis.cc and cdnexpress.cc. As equipes de segurança também devem buscar os hashes SHA-256 referenciados e monitorar o certificado mTLS específico do cliente CN=ed6e62814295701f.
"graph TB %% Class Definitions Section classDef action fill:#99ccff classDef tool fill:#cccccc classDef malware fill:#ff9999 classDef process fill:#ccffcc classDef network fill:#ffff99 classDef operator fill:#ff9900 %% Initial Access and Execution Phase action_phishing["<b>Ação</b> – <b>T1566.001 Phishing: Anexo de Spearphishing</b><br/>Descrição: Engenharia social usando documentos PDF de isca<br/>imitando Besomar para atingir o ecossistema UAV."] class action_phishing action action_exploit["<b>Ação</b> – <b>T1203 Exploração para Execução de Cliente</b><br/>Descrição: Exploração de CVE-2025-8088 e CVE-2025-6218<br/>via arquivo malicioso Besomar_documentation.rar."] class action_exploit action process_vbs["<b>Processo</b> – <b>T1059.005 Comando e Interpretador de Scripts: Visual Basic</b><br/>Descrição: Arquivo VBS colocado na pasta de Inicialização do Windows<br/>executando strings codificadas em Base64 via ExecuteGlobal."] class process_vbs process %% Persistence and Payload Download action_persistence_startup["<b>Ação</b> – <b>T1547.001 Execução de Autostart de Boot ou Logon: Chaves de Registro / Pasta de Inicialização</b><br/>Descrição: Arquivo VBS colocado na pasta de Inicialização para persistência."] class action_persistence_startup action network_download["<b>Rede</b> – <b>T1105 Transferência de Ferramentas de Entrada</b><br/>Descrição: Baixando payloads secundários de cloudaxis.cc."] class network_download network op_branch(("AND")) class op_branch operator %% Path 1: 122.exe malware_122["<b/>Nome: 122.exe<br/>Descrição: Carregador que descriptografa um PE embutido usando XOR<br/>e o executa na memória."] class malware_122 malware action_fingerprint["<b/>Ação: Impressão Digital do Host<br/>Descrição: Coletando nome do computador, nome de usuário e PID."] class action_fingerprint action network_c2_122["<b/>Comunicação C2: cdnexpress.cc<br/>Descrição: Usa certificado de cliente mTLS único para autenticação."] class network_c2_122 network action_screen_cap["<b/>Ação: Captura de Tela<br/>Descrição: Capturando telas via GDI+."] class action_screen_cap action action_persistence_reg["<b/>Ação: Chaves de Registro<br/>Descrição: Estabelecendo persistência via chaves de Registro do Windows."] class action_persistence_reg action %% Path 2: update.exe malware_update["<b/>Nome: update.exe<br/>Descrição: Carregador em memória recuperando configuração C2 do Telegram."] class malware_update malware action_anti_analysis["<b/>Ação: <b>T1562.001 Prejudicar Defesas: Desativar ou Modificar Ferramentas</b><br/>Descrição: Desencaixando ferramentas de EDR/monitoramento ao corrigir ntdll.dll."] class action_anti_analysis action action_metasploit_stager["<b/>Ação: <b>T1059.003 Comando e Interpretador de Scripts: Shell de Comando do Windows</b><br/>Descrição: Executa um stager HTTPS estilo Metasploit na memória."] class action_metasploit_stager action %% Path 3: 22.exe e Vidar malware_22["<b/>Nome: 22.exe<br/>Descrição: Lançador de múltiplas etapas utilizando cliente Xray Core."] class malware_22 malware network_vless["<b/>Rede: <b>T1573 Canal Criptografado</b><br/>Descrição: Trafegando via uma conexão VLESS."] class network_vless network malware_vidar["<b/>Nome: Malware Vidar<br/>Descrição: Ferramenta de roubo de credenciais e dados, visando senhas de navegador,<br/>cookies, carteiras e artefatos de mensagens."] class malware_vidar malware %% Connection Logic action_phishing –>|leads_to| action_exploit action_exploit –>|results_in| process_vbs process_vbs –>|uses| action_persistence_startup action_persistence_startup –>|triggers| network_download network_download –>|delivers| op_branch %% Branching to payloads op_branch –>|payload_1| malware_122 op_branch –>|payload_2| malware_update op_branch –>|payload_3| malware_22 %% 122.exe flow malware_122 –>|performs| action_fingerprint malware_122 –>|communicates_with| network_c2_122 malware_122 –>|capable_of| action_screen_cap malware_122 –>|ensures| action_persistence_reg %% update.exe flow malware_update –>|retrieves_config_from| action_anti_analysis action_anti_analysis –>|executes| action_metasploit_stager %% 22.exe flow malware_22 –>|tunnels_via| network_vless network_vless –>|deploys| malware_vidar "
Fluxo de Ataque
Detecções
Nome Curto do Arquivo (via cmdline)
Ver
LOLBAS WScript / CScript (via criação_de_processo)
Ver
Uso Suspeito de CURL (via cmdline)
Ver
Binários / Scripts Suspeitos na Localização de Autostart (via evento_arquivo)
Ver
Possível Abuso do Telegram como Canal de Comando e Controle (via dns_query)
Ver
Possível Tentativa de Exploração de CVE-2025-8088 / CVE-2025-6218 (Vulnerabilidade do WinRAR) (via evento_arquivo)
Ver
Comando e Controle Suspeito por Solicitação DNS de Domínio de Nível Superior Incomum (TLD) (via dns)
Ver
Detectar Comunicação e Download de Payload da Infraestrutura GhostShell [Conexão de Rede do Windows]
Ver
Persistência do Malware GhostShell via Pasta de Inicialização [Evento de Arquivo do Windows]
Ver
Execução de Simulação
Pré-requisito: O Check de Pré-voo de Telemetria & Baseline deve ter sido aprovado.
Racionalidade: Esta seção detalha a execução precisa da técnica adversária (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a diagnósticos errôneos.
-
Narrativa de Ataque & Comandos: O adversário obteve uma base inicial e está tentando baixar um payload especializado (
122.exe) para solidificar o controle sobre o alvo. Para manter um perfil discreto, o malware usa um domínio de CDN sequestrado ou aparentemente legítimo (cloudaxis.cc). Após o download, o malware tenta “enviar um sinal” ou mandar telemetria de volta para a infraestrutura C2 via um endpoint de análise específico (cdnexpress.cc/analytics). A simulação usarácurlpara imitar estas solicitações GET específicas para acionar a lógica de detecção baseada em URI. -
Script de Teste de Regressão:
# Simulação de Download de Payload do GhostShell Write-Host "[+] Simulando Download de Payload do GhostShell..." curl.exe -I "https://cloudaxis.cc/gsmft/yueu/fkvqld/tvqqwh/ushu/122.exe" # Simulação de Comunicação C2 do GhostShell (Analytics) Write-Host "[+] Simulando Comunicação C2 do GhostShell..." curl.exe -I "https://cdnexpress.cc/analytics" -
Comandos de Limpeza:
# Nenhum arquivo é realmente baixado nesta simulação (usando -I apenas para cabeçalhos) # Nenhuma mudança persistente é feita no sistema. Write-Host "[+] Simulação completa. Nenhuma limpeza necessária."