SOC Prime Bias: Критичний

29 Jan 2026 15:34 UTC

Кібератаки APT на уряд Індії із використанням GOGITTER, GITSHELLPAD та GOSHELL | Частина 1

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Стежити
Кібератаки APT на уряд Індії із використанням GOGITTER, GITSHELLPAD та GOSHELL | Частина 1
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Резюме

Zscaler ThreatLabz виявила дві кампанії – Gopher Strike та Sheet Attack, які здійснює група APT, пов’язана з Пакистаном, що націлена на індійські державні організації. Діяльність включає введення інструментарію на базі Golang, зокрема GOGITTER, GITSHELLPAD та GOSHELL, для розгортання навантажень, використання приватних репозиторіїв GitHub для C2 та розгортання маяка Cobalt Strike. Початковий доступ досягається шляхом спиарфішинг-розсилки PDF, що заманює жертв завантажувати шкідливі ISO файли. Оператори застосовують кілька методів уникнення, включаючи перевірки середовища, додавання файлів та збереження запланованих завдань.

Розслідування

Аналіз показав, що GOGITTER перевіряє наявність скрипта windows_api.vbs, створює його, якщо він відсутній, і реєструє заплановане завдання для його запуску кожні 50 хвилин. GITSHELLPAD використовує GitHub REST API для отримання команд і ексфільтрації даних, тоді як GOSHELL умовно завантажує підготовлений маяк Cobalt Strike лише на вибраних хостах. Інструменти вбудовують жорстко закодовані URL-адреси та рядки клієнтського агента для перешкоди автоматизованому аналізу та пісочниці. Кампанії також використовували приватні репозиторії GitHub для розміщення підтримуючих навантажень, таких як adobe_update.zip.

Пом’якшення

Блокуйте виконання ненадійних/непідписаних бінарних файлів Golang та впроваджуйте суворий білий список і перевірку для створення запланованих завдань. Відстежуйте вихідний трафік на відомі шкідливі домени та ресурси GitHub, що використовуються як C2, включаючи аномальне використання GitHub API з не розробницьких кінцевих точок. Посилення безпеки електронної пошти шляхом сканування PDF-вкладень на предмет обфускації та блокування посилань, які перенаправляють на завантаження ISO. Виявлення на кінцевих точках мають сигналізувати про створення windows_api.vbs та періодичні виконання завдань, що відповідають інтервалам в 50 хвилин.

Відповідь

Якщо виявлено будь-які IOC, ізолюйте кінцеву точку, припиніть і видаліть заплановане завдання, та видаліть пов’язані зі шкідницею артефакти. Виконайте судову перевірку діяльності GitHub на основі C2, збережіть журнали виконання команд і видаліть, де це можливо, будь-який ексфільтрований чи завантажений контент. Перезавантажте облікові дані для уражених облікових записів, проведіть пошук бічного пересування та оновіть виявлення з вилученими індикаторами для ідентифікації пов’язаної діяльності в усій середовищі.

Потік атаки

Виявлення

Можлива спроба комунікації по IP Lookup Domain (через dns)

Команда SOC Prime
28 січня 2026

Підозрілий процес використовує URL в командному рядку (via cmdline)

Команда SOC Prime
28 січня 2026

Підозріле використання CURL (via cmdline)

Команда SOC Prime
28 січня 2026

Можливе вивчення системи (via cmdline)

Команда SOC Prime
28 січня 2026

Можливе вивчення облікових записів або груп (via cmdline)

Команда SOC Prime
28 січня 2026

Підозрілі вилучені файли з архіву (via file_event)

Команда SOC Prime
28 січня 2026

Можливе виявлення конфігурації системної мережі (via cmdline)

Команда SOC Prime
28 січня 2026

IOC (HashSha1) для виявлення: Атаки APT на індійський уряд із використанням GOGITTER, GITSHELLPAD та GOSHELL | Частина 1

Правила SOC Prime AI
28 січня 2026

IOC (HashMd5) для виявлення: Атаки APT на індійський уряд із використанням GOGITTER, GITSHELLPAD та GOSHELL | Частина 1

Правила SOC Prime AI
28 січня 2026

IOC (HashSha256) для виявлення: Атаки APT на індійський уряд із використанням GOGITTER, GITSHELLPAD та GOSHELL | Частина 1

Правила SOC Prime AI
28 січня 2026

Виявлення бекдору GITSHELLPAD і команд очищення [Створення процесів Windows]

Правила SOC Prime AI
28 січня 2026

Виявлення завантажувача GOGITTER та комунікації C2 [Мережеве підключення Windows]

Правила SOC Prime AI
28 січня 2026

Виконання симуляції

Передумова: Телеметрія & Передпольотна перевірка Базової лінії повинна пройти.

Обґрунтування: Цей розділ детально описує точне виконання техніки супротивника (TTP), призначеної для спрацьовування правила виявлення. Команди та опис ПОВИННІ прямо відображати виявлені TTP і прагнути створити саме ту телеметрію, яку очікує логіка виявлення. Абстрактні або не пов’язані приклади призведуть до невірного діагностування.

  • Сценарій атаки та команди:
    Група APT розгортає бекдор GITSHELLPAD (edgehost.exe) на скомпрометованому Windows-хості. Щоб зливатися зі звичайною системною поведінкою, зловмисник запускає бекдор через командний шел Windows (cmd /c). Після виконання корисного навантаження (наприклад, завантаження додаткових модулів), бекдор виконує “очищення”, зупиняючи власний процес за допомогою taskkill /F /PID <PID>. Обидві дії генерують події створення процесів, які містять ім’я бінарника та необхідні підрядки командного рядка, відповідно до правила Sigma.

  • Сценарій регресійного тесту:

    # -------------------------------------------------
    # Симуляція виконання бекдору GITSHELLPAD та очищення
    # -------------------------------------------------
    # 1. Скинути файл-заглушку edgehost.exe (будь-який нешкідливий виконуваний файл)
    $src = "$env:SystemRootSystem32notepad.exe"
    $dst = "$env:TEMPedgehost.exe"
    Copy-Item -Path $src -Destination $dst -Force
    
    # 2. Запустіть edgehost.exe через cmd /c (відповідає шаблону cmd_cmd)
    $proc = Start-Process -FilePath "cmd.exe" -ArgumentList "/c `"$dst`"" -PassThru
    
    # 3. Зачекайте кілька секунд, щоб переконатися, що процес живий
    Start-Sleep -Seconds 5
    
    # 4. Очищення: зупинити процес edgehost.exe за допомогою taskkill (відповідає шаблону taskkill_cmd)
    $pid = $proc.Id
    cmd /c "taskkill /F /PID $pid"
    
    # 5. Видалити скинутий файл
    Remove-Item -Path $dst -Force
  • Команди очищення:

    # Переконайтесь, що всі мимовільні екземпляри edgehost.exe завершено
    Get-Process -Name "edgehost" -ErrorAction SilentlyContinue | Stop-Process -Force
    
    # Видаліть тимчасовий бінарник, якщо ще присутній
    $tempPath = "$env:TEMPedgehost.exe"
    if (Test-Path $tempPath) { Remove-Item $tempPath -Force }