Розкриття інструментарію Gamaredon: GammaPhish та GammaWorm

SOC Prime Team

Стежити

Розкриття інструментарію Gamaredon: GammaPhish та GammaWorm

Detection stack

AIDR
Alert
ETL
Query

Звіт про загрози
Потік атаки
Виявлення
Симуляції

Резюме

Група Gamaredon, підтримувана російською державою APT група, продовжує довгострокові операції з шпигунства проти українських державних установ, військових об’єктів та критичної інфраструктури. Її модульний ланцюг інфекцій починається з документа для цілеспрямованого фішингу, використовує помилку обходу шляхів у WinRAR, а потім покладається на VBScript, альтернативні потоки даних та dead-drop резольвери для поширення, збереження та отримання додаткових корисних навантажень. Кампанія також використовує законні сервіси такі як Telegram, Cloudflare і Supabase для активності командування та контролю. Виявлення залишається складним через те, що зловмисники сильно зловживають вбудованою функціональністю Windows та безфайловими методами виконання.

Розслідування

Sekoia TDR реконструювала ланцюг вторгнення в січні 2026 року, вивчивши більше ніж 70 артефактів, зібраних з компрометованих систем. Їх аналіз виявив початковий компонент фішингу, GammaPhish, за яким слідував VBScript завантажувач GammaLoad, самопропагуючий черв GammaWorm і PowerShell крадій GammaSteel, який зберігає модулі в реєстрі. Дослідники також задокументували використання GammaWorm альтернативними потоками даних та запланованими завданнями для збереження, а також повторювані мережеві запити до кількох доменів dead-drop резольвера. Розслідування картувало, як кожен компонент підтримував ширший ланцюг інфекції та довгострокову опору.

Пом’якшення

Оскільки шкідливе ПЗ може постійно завантажувати нові корисні навантаження через резольвери dead-drop, найбезпечнішим підходом до усунення часто є повне відновлення системи. Захисні зусилля повинні зосередитись на виявленні підозрілих створення альтернативних потоків даних, модифікацій реєстру RunOnce, запланованих завдань з незвичайними іменами та вихідного трафіку з небраузерних процесів до відомих доменів резольверів. Блокування ідентифікованої інфраструктури командування та контролю і застосування суворих скануючих контролів до вкладень електронної пошти також можуть зменшити імовірність початкового компромісу.

Відповідь

Якщо ця активність виявлена, негайно ізолюйте уражений хост, зберіть волатильні докази та проведіть повну судову експертизу. Видаліть файли, приховані в альтернативних потоках даних, видаліть зловмисний запис реєстру RunOnce та вимкніть будь-які пов’язані заплановані завдання. Відомі домени та IP-адреси резольверів повинні бути заблоковані на межі мережі, а системи виявлення на кінцевих точках повинні бути оновлені для визначення спостережуваних командних ліній та безфайлових шаблонів виконання.

graph TB %% Class Definitions Section classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef file fill:#ddffdd classDef process fill:#ffeb99 classDef operator fill:#ff9900 %% Nodes attack_phishing[“Дія – T1566.001 Фішинг із вкладенням Зловмисник надсилає жертвам шкідливий ZIP-файл електронною поштою.”] class attack_phishing action file_zip[“Файл – malicious.zip Містить .lnk ярлик і .exe дроппер, скомпільований у Rust.”] class file_zip file action_user_exec[“Дія – T1204.001 Виконання користувачем Жертва відкриває .lnk або запускає .exe, запускаючи ланцюг виконання.”] class action_user_exec action file_lnk[“Файл – payload.pdf.lnk Ярлик із подвійним розширенням та іконкою Edge для маскування.”] class file_lnk file tool_wscript[“Інструмент – wscript.exe Виконує VBScript-пейлоад.”] class tool_wscript tool file_vbs[“Файл – empty.vbs Мінімальний VBScript, що запускає PowerShell.”] class file_vbs file action_vbscript[“Дія – T1059.005 Visual Basic VBScript запускається через wscript для старту PowerShell.”] class action_vbscript action action_powershell[“Дія – T1059.001 PowerShell Запускається з обходом ExecutionPolicy та розшифровує наступний етап.”] class action_powershell action file_dat[“Файл – 1.dat XOR-зашифрований контейнер із RuntimeBroker_update.exe.”] class file_dat file process_runtime[“Процес – RuntimeBroker_update.exe Розшифрований із 1.dat; завантажує DLL через DLL side-loading.”] class process_runtime process file_dll[“Файл – UnityPlayer.dll Шкідлива DLL, розміщена в тій самій директорії.”] class file_dll file action_dll_sideload[“Дія – T1546.009 AppCert DLL DLL side-loading забезпечує виконання коду.”] class action_dll_sideload action tool_rustloader[“Інструмент – Rust loader (RUSTCLOAK) Виділяє пам’ять, записує розшифрований PE AZUREVEIL і виконує через Windows fibers.”] class tool_rustloader tool action_process_injection[“Дія – T1055.002 Ін’єкція процесу PE-ін’єкція через Windows fibers.”] class action_process_injection action file_azureveil[“Файл – AZUREVEIL.exe Розшифрований payload, що виконується після ін’єкції.”] class file_azureveil file action_discovery[“Дія – T1083 Розвідка файлів Завантажувач перераховує файли та переміщує їх у %TEMP%.”] class action_discovery action action_network_discovery[“Дія – T1016 Розвідка мережі Збір MAC- та IP-адрес.”] class action_network_discovery action action_c2[“Дія – T1102 Вебсервіс Комунікація з Azure Blob Storage через HTTPS.”] class action_c2 action action_dead_drop[“Дія – T1102.003 Односторонній канал Використання одного контейнера для beacon і команд.”] class action_dead_drop action action_encrypted_channel[“Дія – T1573.001 Зашифрований канал Шифрована комунікація RC4 та SM4-CBC.”] class action_encrypted_channel action action_exfil[“Дія – T1567.002 Ексфільтрація через вебсервіс Завантаження зашифрованих даних у Azure Blob.”] class action_exfil action action_persistence[“Дія – T1547.009 Закріплення через ярлик Розміщення LNK у автозавантаженні.”] class action_persistence action %% Connections attack_phishing –>|доставка| file_zip file_zip –>|активація| action_user_exec action_user_exec –>|відкриває| file_lnk file_lnk –>|виконує| tool_wscript tool_wscript –>|запускає| file_vbs file_vbs –>|ініціює| action_vbscript action_vbscript –>|запускає| action_powershell action_powershell –>|розшифровує| file_dat file_dat –>|створює| process_runtime process_runtime –>|завантажує| file_dll file_dll –>|використовується| action_dll_sideload process_runtime –>|ін’єктує| action_process_injection action_process_injection –>|використовує| tool_rustloader tool_rustloader –>|завантажує| file_azureveil file_azureveil –>|виконує| action_discovery action_discovery –>|також| action_network_discovery action_network_discovery –>|надсилає| action_c2 action_c2 –>|використовує| action_dead_drop action_dead_drop –>|залежить від| action_encrypted_channel action_encrypted_channel –>|активує| action_exfil action_exfil –>|може активувати| action_persistence file_lnk –>|постійність| action_persistence

Потік атаки

Оповідання про атаку та команди:
Оператор отримав корисне навантаження GammaWorm (скомпільований PE) і бажає досягти персистентності, залишаючись прихованим від традиційних списків файлів. Зловмисник записує корисне навантаження у NTFS Alternate Data Stream з назвою GTR в директорії профілю користувача. Windows буде трактути ADS як частину нормального файлу (%USERPROFILE%gamma.exe:GTR). Оскільки назва ADS відповідає списку жорстко закодованому в правилі, будь-яка подія створення файлу, що включає “:GTR” під %USERPROFILE% викличе спрацювання виявлення.
```
# Крок 1 – Підготуйте підроблений зловмисний бінарний файл (наприклад, однолінійний скрипт PowerShell, закодований в base64) 
$malicious = [System.Convert]::FromBase64String(
    "TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA" +
    "AAAAAAAAAAAAAAAwAAAAA4AAAAA")
$payloadPath = "$env:USERPROFILEgamma.exe"

# Крок 2 – Запишіть бінарний файл у первинний файл (необов'язково; ADS може існувати без первинного файлу)
[IO.File]::WriteAllBytes($payloadPath, $malicious)

# Крок 3 – Запишіть той же бінарний файл (або інше корисне навантаження) у ADS з назвою GTR
$adsPath = "$payloadPath:GTR"
Set-Content -Path $adsPath -Value $malicious -Encoding Byte
```

Скрипт регресійного тестування: (самостійний; може бути виконаний на будь-якому Windows хості з PowerShell 5+)

# Симуляція персистентності GammaWorm ADS – спрацьовує правило виявлення 
try {
    # Створіть заповнювач для хост-файлу 
    $hostFile = "$env:USERPROFILEgamma.exe"
    $dummyBytes = [byte[]] (0x4D,0x5A,0x90,0x00) # Мінімальний заголовок PE
    [IO.File]::WriteAllBytes($hostFile, $dummyBytes)

    # Запишіть зловмисне навантаження в ADS з назвою "GTR"
    $ads = "$hostFile:GTR"
    Set-Content -Path $ads -Value $dummyBytes -Encoding Byte

    Write-Host "ADS 'GTR' успішно створений в $ads"
} catch {
    Write-Error "Симуляція не вдалася: $_"
}

Команди очищення:

# Видаліть ADS та хост-файл заповнювач 
$hostFile = "$env:USERPROFILEgamma.exe"
$ads = "$hostFile:GTR"

# Видалення ADS (вимагає Sysinternals Streams.exe або PowerShell 5+)
if (Test-Path $ads) {
    Remove-Item -Path $ads -Force
    Write-Host "Повідомлення ADS GTR видалено."
}

# Видалення головного файлу
if (Test-Path $hostFile) {
    Remove-Item -Path $hostFile -Force
    Write-Host "Файл хоста gamma.exe видалено."
}

Приєднуйтесь до платформи Detection as Code від SOC Prime щоб покращити видимість загроз, найбільш актуальних для вашого бізнесу. Щоб допомогти вам розпочати та отримати негайну цінність, забронюйте зустріч зараз з експертами SOC Prime.

Приєднатися безкоштовно