Gamaredon modernizuje arsenał: nowe techniki rosyjskiej grupy APT wymuszają zmianę strategii obrony

Wprowadzenie do problemu / definicja

Gamaredon to rosyjska grupa APT od lat kojarzona z kampaniami cyberszpiegowskimi wymierzonymi głównie w instytucje ukraińskie. Najnowsze analizy pokazują, że operatorzy tej grupy znacząco rozbudowali zarówno zestaw wykorzystywanych narzędzi, jak i metody ukrywania infrastruktury dowodzenia i kontroli. Dla organizacji oznacza to, że klasyczne podejście oparte na blokowaniu znanych domen, prostych wskaźnikach kompromitacji i zaufaniu do popularnych usług chmurowych staje się coraz mniej skuteczne.

Zmiany w arsenale Gamaredon wpisują się w szerszy trend obserwowany wśród zaawansowanych aktorów państwowych: łączenie prostych, łatwych do modyfikacji narzędzi z legalną infrastrukturą internetową. Taki model działania utrudnia detekcję, wydłuża czas obecności napastnika w środowisku i zwiększa skuteczność operacji szpiegowskich.

W skrócie

W 2025 roku Gamaredon rozwinął nowe narzędzia oparte głównie na PowerShell, w tym downloadery odpowiedzialne za pobieranie kolejnych komponentów złośliwego oprogramowania. Szczególnie istotnym elementem stało się wykorzystywanie nośników USB do dalszego rozprzestrzeniania się w środowisku ofiary, także między segmentami o ograniczonej łączności.

• Grupa rozbudowała własne loadery i downloadery w PowerShell.
• Nowe malware wspiera propagację przez nośniki USB.
• Infrastruktura C2 jest maskowana z użyciem tunelowania, usług serverless i legalnych platform chmurowych.
• Eksfiltracja danych do popularnych usług online utrudnia wykrycie incydentu.
• Organizacje muszą przejść z detekcji opartej na reputacji do analizy behawioralnej i kontekstowej.

Kontekst / historia

Gamaredon działa co najmniej od 2013 roku i pozostaje jednym z najbardziej konsekwentnie aktywnych aktorów powiązanych z rosyjskimi operacjami cyberszpiegowskimi. W środowisku threat intelligence grupa funkcjonuje również pod nazwami Aqua Blizzard, Armageddon czy BlueAlpha. Jej kampanie od lat koncentrują się na celach rządowych, wojskowych i administracyjnych związanych z Ukrainą.

To, co wyróżnia najnowszą fazę aktywności, to wyraźna dojrzałość operacyjna. W pierwszym etapie grupa rozwijała własne narzędzia i testowała nowe mechanizmy działania. W kolejnym zwiększyła intensywność kampanii spear phishingowych oraz skuteczność operacyjną. Nie chodzi już jedynie o odświeżenie znanych technik, ale o spójny model łączący autorskie malware, elastyczne kanały C2 oraz nadużywanie zaufanej infrastruktury internetowej.

Analiza techniczna

Jednym z najważniejszych elementów zmian jest rozwój lekkich narzędzi inicjujących infekcję. Gamaredon stworzył kilka nowych komponentów w PowerShell, które pełnią funkcję downloaderów i loaderów. Takie podejście ogranicza rozmiar początkowego ładunku, utrudnia analizę statyczną i pozwala operatorom dynamicznie podmieniać dalsze moduły zależnie od celu operacji.

Na szczególną uwagę zasługuje narzędzie określane jako PteroPaste. Oprócz pobierania kolejnych komponentów monitoruje ono obecność pamięci USB podłączonych do zainfekowanego systemu. Po wykryciu nośnika próbuje umieścić na nim złośliwy skrypt w taki sposób, aby zwiększyć szansę na uruchomienie go przez kolejnego użytkownika. Mechanizm maskowania polega na podszywaniu się pod dokument lub plik roboczy, co czyni tę technikę wyjątkowo skuteczną w środowiskach, gdzie nośniki wymienne wciąż odgrywają rolę operacyjną.

Równie ważne są zmiany po stronie infrastruktury C2. Gamaredon wykorzystuje usługi tunelowania oraz komponenty serverless, aby ukrywać faktyczne serwery sterujące za legalnie wyglądającymi domenami i pośrednikami sieciowymi. Dodatkowo stosowane są mechanizmy typu dead drop, w których konfiguracja lub adresy C2 są pobierane z pozornie nieszkodliwych zasobów internetowych. Taka architektura utrudnia mapowanie łańcucha ataku i ogranicza skuteczność automatycznego blokowania komunikacji.

Nowoczesny charakter kampanii widać również w sposobie eksfiltracji danych. Część narzędzi przesyła skradzione pliki do legalnych usług przechowywania danych w chmurze, takich jak zasobniki obiektowe czy platformy udostępniania plików. Dla zespołów SOC oznacza to konieczność analizy kontekstu połączenia: procesu źródłowego, konta użytkownika, klasy hosta, pory aktywności oraz zgodności z typowym profilem biznesowym.

Istotne jest także to, że rozwinięty zestaw loaderów może pełnić rolę wstępnego dostępu dla dalszych etapów operacji. Nawet pozornie prosty malware może stać się pomostem do wdrożenia bardziej zaawansowanych frameworków lub przekazania dostępu innym aktorom działającym w tym samym ekosystemie operacyjnym.

Konsekwencje / ryzyko

Najpoważniejszą konsekwencją jest wzrost odporności Gamaredon na tradycyjne mechanizmy detekcji. Organizacje polegające głównie na reputacji domen, znanych wskaźnikach kompromitacji i prostych regułach sieciowych mogą nie zauważyć komunikacji ukrytej w usługach chmurowych, tunelach i infrastrukturze pośredniczącej. To zwiększa ryzyko długotrwałej obecności napastnika w środowisku.

Drugim istotnym zagrożeniem jest lateral movement z użyciem nośników USB. W wielu środowiskach pamięci wymienne nadal funkcjonują jako narzędzie transferu danych, zwłaszcza w sieciach przemysłowych, segmentach o ograniczonej łączności czy systemach częściowo izolowanych. Malware ukrywające się pod postacią zwykłych plików może skutecznie omijać bariery między segmentami i ułatwiać przenikanie do systemów niedostępnych bezpośrednio z Internetu.

Trzecim ryzykiem jest nadużywanie zaufanych platform online. Jeśli ruch do popularnych dostawców chmurowych nie podlega analizie behawioralnej, eksfiltracja danych może pozostać niezauważona przez długi czas. W praktyce oznacza to ryzyko utraty dokumentów operacyjnych, planów, danych kadrowych, informacji analitycznych i innych zasobów o wysokiej wartości.

Rekomendacje

Organizacje powinny ograniczyć użycie PowerShell oraz innych interpreterów skryptowych wyłącznie do ról i systemów, które faktycznie tego wymagają. Warto wdrożyć polityki ograniczające uruchamianie skryptów, pełne logowanie aktywności PowerShell, kontrolę wykorzystania WMI oraz ścisły nadzór nad procesami administracyjnymi.

Kluczowe jest również zaostrzenie polityki dotyczącej nośników USB. Minimalny poziom ochrony powinien obejmować skanowanie nośników przed użyciem, kontrolę urządzeń wymiennych, stosowanie stacji sanitizacji oraz blokowanie nieautoryzowanych pamięci. W środowiskach wysokiego ryzyka zasadne może być całkowite wyeliminowanie prywatnych nośników z obiegu.

Po stronie sieciowej konieczne jest odejście od modelu opartego na prostym zaufaniu do domeny lub dostawcy usługi. Ruch do legalnych platform chmurowych powinien być oceniany w kontekście tożsamości użytkownika, procesu źródłowego, historii aktywności i klasyfikacji hosta. Skutecznym uzupełnieniem takiego podejścia będzie segmentacja lub mikrosegmentacja ograniczająca możliwości przemieszczania się po incydencie.

• Wykrywaj nietypowe uruchomienia PowerShell inicjowane przez aplikacje biurowe.
• Monitoruj tworzenie skrótów i plików o mylących nazwach na nośnikach USB.
• Analizuj połączenia do usług chmurowych inicjowane przez nietypowe procesy.
• Identyfikuj odczyt z zewnętrznych zasobów wykorzystywanych jako pośrednie repozytoria konfiguracji C2.
• Wykrywaj niestandardowe transfery plików z hostów użytkowników do usług udostępniania danych.

Ważnym elementem pozostaje także odporność użytkowników na spear phishing, jednak szkolenia nie powinny być traktowane jako podstawowy mechanizm obrony. Większą wartość dają kontrola wykonania, telemetria endpointów, sandboxing załączników oraz możliwość szybkiej izolacji stacji roboczych po wykryciu anomalii.

Podsumowanie

Ewolucja Gamaredon pokazuje, że nawet dobrze znany aktor może znacząco zwiększyć skuteczność dzięki rozwojowi prostych, ale dobrze dobranych narzędzi i umiejętnemu wykorzystaniu legalnej infrastruktury. Nowe downloadery, propagacja przez USB, ukrywanie C2 za tunelami i usługami serverless oraz eksfiltracja danych do popularnych platform chmurowych tworzą zestaw technik, który wymaga aktualizacji strategii obrony.

Dla zespołów bezpieczeństwa oznacza to konieczność przejścia od detekcji opartej wyłącznie na sygnaturach i reputacji do modelu bazującego na analizie zachowań, segmentacji, kontekście operacyjnym oraz ścisłej kontroli skryptów i nośników wymiennych. Bez takiej zmiany organizacje będą coraz bardziej narażone na długotrwałe, trudne do wykrycia kampanie szpiegowskie.

Źródła

1. Dark Reading — Russian APT 'Gamaredon’ Upgrades Its Arsenal, Requiring New Defenses — https://www.darkreading.com/threat-intelligence/russia-apt-gamaredon-arsenal-defense
2. ESET WeLiveSecurity — Gamaredon intensifies cyberattacks against Ukrainian institutions — https://www.welivesecurity.com/en/eset-research/gamaredon-intensifies-cyberattacks-against-ukrainian-institutions/
3. MITRE ATT&CK — Gamaredon Group — https://attack.mitre.org/groups/G0047/