SOC Prime Bias: Критичний

30 Jun 2026 07:05 UTC

Гамаредон у 2025: Тунелі, Співробітники, Тайники і Нові Альянси

Author Photo
SOC Prime Team linkedin icon Стежити
Гамаредон у 2025: Тунелі, Співробітники, Тайники і Нові Альянси
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Резюме

Gamaredon, група APT, пов’язана з Росією, у 2025 році додатково адаптувала свою діяльність, зловживаючи легітимними сторонніми сервісами для приховування командно-контрольної інфраструктури та активності крадіжки даних. Група покладається на тунелі, воркери та платформи «заглушок» такі як Telegram і Dropbox для замаскування шкідливого трафіку. Також було введено нові інструменти на базі PowerShell та оновлено крадії файлів для підтримки ексфільтрації до хмари, сумісної з S3.

Дослідження

Дослідження ESET переглянуло операції Gamaredon у 2025 році й відзначило зрушення в бік великих кампаній spearphishing у поєднанні з техніками HTML-маніпуляцій. Розслідування виявило нові інструменти доставки, більшу кількість використання Cloudflare воркерів та тунелів, і продовження залежності від «заглушок»-резолверів. Дослідники також зафіксували співпрацю з іншими акторами, пов’язаними з Росією, включаючи Turla.

Пом’якшення

Захисники повинні спостерігати за незвичайними вихідними з’єднаннями до легітимних платформ зберігання даних у хмарі та серверлес-сервісів. Забезпечення суворого контролю над виконанням HTA та VBScript може допомогти заблокувати ранні стадії зараження. Також рекомендується моніторинг зловживань динамічними DNS-сервісами та загальновживаними платформами «заглушок».

Відповідь

Якщо виявлено активність Gamaredon, уражені системи слід негайно ізолювати, щоб запобігти подальшому розповсюдженню через зброєні USB-пристрої або мережеві ресурси. Розслідувачі повинні повністю переглянути будь-який несанкціонований доступ до акаунтів хмарного зберігання. Також слід перевірити телеметрію на наявність з’єднань з відомими тунельними та воркеровими сервісами, що асоціюються з групою.

Потік атаки

Виявлення

Можлива крадіжка / ексфільтрація / C2 через сторонні сервіси / інструменти (через cmdline)

Команда SOC Prime
29 червня 2026

Можлива крадіжка / ексфільтрація / C2 через сторонні сервіси / інструменти (через dns_query)

Команда SOC Prime
29 червня 2026

Підозрілий DNS-запит на відомі зловживані веб-сервіси (за мережевим з’єднанням)

Команда SOC Prime
29 червня 2026

Можливе зловживання API Visual Studio Code як C2 каналу (через dns_query)

Команда SOC Prime
29 червня 2026

Можливе зловживання API Visual Studio Code як C2 каналу (через проксі)

Команда SOC Prime
29 червня 2026

Підозріле спілкування з доменом Trycloudflare (через dns)

Команда SOC Prime
29 червня 2026

Підозрілі бінарні файли / скрипти в місці автозавантаження (через file_event)

Команда SOC Prime
29 червня 2026

Можлива спроба експлуатації CVE-2025-8088 / CVE-2025-6218 (вразливість WinRAR) (через file_event)

Команда SOC Prime
29 червня 2026

Можливе зловживання Telegram як каналу командування та контролю (через dns_query)

Команда SOC Prime
29 червня 2026

Виявлення PteroSetup та експлуатації WinRAR CVE-2025-8088 [створення процесу Windows]

Правила SOC Prime AI
29 червня 2026

Виявлення завантажувачів PowerShell Gamaredon [Windows Powershell]

Правила SOC Prime AI
29 червня 2026

Виконання симуляції

Необхідна умова: перевірка Телеметрії та Базової лінії перед запуском має бути успішною.

Мотивація: У цьому розділі викладено точне виконання техніки противника (TTP), призначеної для запуску правила виявлення. Команди та наратив повинні точно відображати ідентифіковані TTP та бути спрямовані на генерацію точної телеметрії, очікуваної логікою виявлення. Абстрактні або несумісні приклади призведуть до неправильної діагностики.

  • Наратив атаки та команди: Противник прагне встановити закріплення, завантажуючи вторинне етапне навантаження. Щоб уникнути виявлення базовими інструментами, що працюють на підписах, вони зазвичай використовують спеціальні модулі завантажувачів. У цій симуляції ми спочатку виконаємо “виявлювану” версію, щоб підтвердити, що правило працює, а потім виконаємо “заплутану” версію, щоб продемонструвати слабкість правила. Мета – симулювати виконання модуля, який отримує інструкції C2 з файлу, розміщеного в хмарі. module which fetches C2 instructions from a cloud-hosted file.

  • Скрипт регресійного тестування:

    # --- ЧАСТИНА 1: УСПІШНЕ ВИЯВЛЕННЯ (Гучна атака) ---
    Write-Host "[+] Виконання виявлюваної команди..."
    powershell.exe -ExecutionPolicy Bypass -Command "& {Write-Host 'Ініціалізація завантажувача PteroDee...'; Start-Sleep -s 2}"
    
    # --- ЧАСТИНА 2: ТЕСТ НА УХИЛЯННЯ (Тиха атака) ---
    # Це демонструє, як противник обходить правило за допомогою конкатенації рядків
    Write-Host "[+] Виконання заплутаної команди (Ухилення)..."
    $part1 = "Ptero"
    $part2 = "Dee"
    $cmd = "& {Write-Host 'Ініціалізація ' + '$part1' + '$part2' + ' завантажувача...'; Start-Sleep -s 2}"
    powershell.exe -ExecutionPolicy Bypass -Command $cmd
    
    Write-Host "[+] Симуляція завершена."
  • Команди очищення:

    # Ніякі постійні зміни не внесено в систему. 
    # Просто очистіть історію PowerShell для поточної сесії.
    Clear-History