Gamaredon modernizuje arsenał: nowe techniki rosyjskiej grupy APT wymuszają zmianę strategii obrony - Security Bez Tabu

Gamaredon modernizuje arsenał: nowe techniki rosyjskiej grupy APT wymuszają zmianę strategii obrony

Cybersecurity news

Wprowadzenie do problemu / definicja

Gamaredon to rosyjska grupa cyberespionażowa od lat ukierunkowana głównie na cele ukraińskie, w tym administrację publiczną, wojsko i podmioty o znaczeniu strategicznym. Przez długi czas była kojarzona przede wszystkim z intensywnym spear-phishingiem, prostszymi łańcuchami infekcji oraz szybką rotacją infrastruktury, jednak najnowsze obserwacje wskazują na wyraźną modernizację jej zaplecza technicznego.

Zmiana ta jest istotna dla obrońców, ponieważ Gamaredon coraz częściej łączy lekkie, łatwe do modyfikacji narzędzia z technikami maskowania komunikacji i wykorzystaniem legalnych usług chmurowych. W praktyce oznacza to wzrost skuteczności operacji szpiegowskich oraz większe trudności w wykrywaniu aktywności przeciwnika przy użyciu tradycyjnych metod ochrony.

W skrócie

  • Gamaredon rozwija nowe loadery i downloadery, w tym komponenty oparte na PowerShellu.
  • Grupa rozszerza wykorzystanie nośników USB i złośliwych plików LNK do przemieszczania się między systemami.
  • Infrastruktura C2 jest coraz lepiej ukrywana z użyciem tuneli, usług pośredniczących i legalnych platform internetowych.
  • Odnotowano przypadki, w których narzędzia Gamaredon służyły do dostarczania implantów powiązanych z grupą Turla.
  • Skuteczność klasycznych blokad opartych na reputacji domen i adresów IP wyraźnie spada.

Kontekst / historia

Gamaredon, znany również jako Aqua Blizzard, Armageddon czy Shuckworm, działa co najmniej od 2013 roku. Od początku jego aktywność była silnie związana z działaniami wymierzonymi w Ukrainę. Na przestrzeni lat grupa zbudowała rozpoznawalny model operacyjny oparty na masowych kampaniach phishingowych, dokumentach-przynętach, skryptach VBS i PowerShell oraz częstej zmianie domen i serwerów wykorzystywanych w atakach.

W przeszłości aktor ten bywał oceniany jako bardzo aktywny, ale nierówny technicznie. Najnowsze ustalenia pokazują jednak, że Gamaredon przeszedł wyraźny etap dojrzewania. Zamiast polegać wyłącznie na skali działań, grupa rozwija bardziej elastyczne narzędzia, skuteczniej ukrywa komunikację oraz poprawia zdolność do eksfiltracji danych i utrzymywania dostępu.

Ważnym elementem tego obrazu jest również współpraca operacyjna z innymi rosyjskimi grupami. W analizowanych przypadkach Gamaredon miał pełnić rolę dostawcy początkowego dostępu, po czym kolejne etapy operacji przejmowały bardziej zaawansowane implanty powiązane z Turla.

Analiza techniczna

Jedna z najważniejszych zmian dotyczy samego łańcucha infekcji. Gamaredon rozwija nowe komponenty typu downloader i loader, z których część opiera się na PowerShellu. To rozwiązanie daje atakującym dużą elastyczność, ponieważ takie narzędzia można szybko modyfikować, łatwo dostarczać do ofiary i wykorzystywać do pobierania kolejnych etapów ataku.

Szczególną uwagę badaczy zwróciło narzędzie określane jako PteroPaste. Jego rola nie ogranicza się do pobierania dodatkowych ładunków. Malware monitoruje podłączane nośniki USB i próbuje kopiować na nie złośliwe komponenty w taki sposób, by zwiększyć prawdopodobieństwo uruchomienia ich przez użytkownika. Jedną z obserwowanych metod jest nadawanie plikom nazw przypominających legalne dokumenty przy jednoczesnym użyciu rozszerzenia LNK, co może skłonić ofiarę do kliknięcia.

Ten sposób działania ma szczególne znaczenie w środowiskach, w których wymiana danych przez pamięci przenośne nadal jest powszechna, także pomiędzy segmentami sieci o ograniczonej łączności. W takich warunkach USB staje się nie tylko nośnikiem danych, ale też skutecznym wektorem ruchu bocznego i przenoszenia złośliwych artefaktów.

Kolejnym filarem modernizacji jest ukrywanie infrastruktury dowodzenia i kontroli. Zamiast komunikacji wyłącznie z łatwymi do zidentyfikowania serwerami, Gamaredon coraz częściej korzysta z legalnych usług internetowych, tuneli oraz technik pośrednich, takich jak dead drop resolver. W takim modelu złośliwe oprogramowanie może dynamicznie pozyskiwać aktualny adres C2 z zasobów, które na pierwszy rzut oka wyglądają wiarygodnie i nie budzą podejrzeń.

To znacząco utrudnia analizę oraz blokowanie ataku. Ruch do popularnych usług chmurowych lub platform pośredniczących nie zawsze jest traktowany jako anomalia, a dla wielu organizacji stanowi codzienny element legalnej aktywności użytkowników i aplikacji. Gamaredon wykorzystuje ten fakt do ukrywania komunikacji i zmniejszania swojej widoczności.

Zaobserwowano również eksfiltrację danych do popularnych usług przechowywania plików i synchronizacji. Taki ruch może zlewać się z normalnym wykorzystaniem chmury, co wymusza na zespołach bezpieczeństwa analizę kontekstu, wzorca zachowania użytkownika i relacji między hostem, procesem oraz celem połączenia.

Na poziomie taktyk i technik aktywność grupy obejmuje między innymi:

  • spear-phishing i dokumenty-przynęty,
  • wykorzystanie PowerShella, VBScript oraz plików LNK,
  • zbieranie danych z lokalnych systemów i zasobów sieciowych,
  • monitorowanie i nadużywanie nośników wymiennych,
  • automatyczną eksfiltrację danych,
  • dynamiczne ukrywanie infrastruktury C2.

Dodatkowo odnotowano scenariusze, w których narzędzia Gamaredon były używane do wdrażania backdoora Kazuar v2 powiązanego z Turla. Taki model współpracy sugeruje podział ról, w którym jeden aktor odpowiada za uzyskanie dostępu początkowego, a drugi za dalszą, bardziej zaawansowaną fazę cyberespionażu.

Konsekwencje / ryzyko

Najważniejszą konsekwencją dla organizacji jest spadek skuteczności ochrony opartej wyłącznie na reputacji domen, listach blokad i prostym filtrowaniu adresów IP. Jeżeli malware komunikuje się przez legalne usługi chmurowe, tunele lub zasoby pośredniczące, sam cel połączenia przestaje być wystarczającym wskaźnikiem zagrożenia.

Wysokie ryzyko dotyczy szczególnie podmiotów publicznych, wojskowych, przemysłowych oraz wszystkich organizacji przetwarzających wrażliwe dokumenty. Zagrożone są również środowiska częściowo odseparowane od Internetu, gdzie nośniki USB pozostają realnym sposobem wymiany danych, a widoczność narzędzi bezpieczeństwa bywa ograniczona.

Współpraca pomiędzy grupami APT dodatkowo zwiększa wagę pojedynczego incydentu. Nawet pozornie prosty phishing lub wykrycie lekkiego loadera może oznaczać początek znacznie poważniejszej operacji, prowadzącej do długotrwałej obecności przeciwnika, kradzieży dokumentów i utraty informacji strategicznych.

Z perspektywy biznesowej oraz operacyjnej skutki mogą obejmować:

  • kradzież dokumentacji i danych wrażliwych,
  • ujawnienie informacji strategicznych i operacyjnych,
  • utrzymanie się przeciwnika w środowisku przez długi czas,
  • zwiększone ryzyko kolejnych etapów ataku realizowanych przez innych aktorów,
  • trudności w szybkim wykryciu i ograniczeniu skali kompromitacji.

Rekomendacje

Organizacje powinny ograniczyć możliwość uruchamiania PowerShella i innych interpreterów skryptowych do użytkowników oraz systemów, które rzeczywiście tego wymagają. W środowiskach Windows warto wdrożyć polityki kontroli wykonywania skryptów, monitorować wywołania WMI i rejestrować zdarzenia związane z procesami potomnymi uruchamianymi przez aplikacje biurowe oraz eksplorator plików.

Istotne jest również wzmocnienie kontroli nad nośnikami wymiennymi. Minimalny poziom ochrony powinien obejmować skanowanie USB przed użyciem, blokowanie nieautoryzowanych urządzeń, monitorowanie obecności plików LNK, HTA i skryptów w katalogach głównych nośników oraz korzystanie z wydzielonych stacji do sanityzacji pamięci przenośnych. W segmentach szczególnie wrażliwych warto rozważyć pełne wyeliminowanie niesprawdzonych nośników.

Po stronie sieciowej konieczne jest odejście od modelu zaufania do domeny na rzecz analizy zachowań i tożsamości. Ruch do popularnych usług chmurowych powinien być oceniany pod kątem zgodności z normalnym profilem pracy użytkownika, hosta i aplikacji. Pomocne będą mechanizmy mikrosegmentacji, ścisłe polityki egress filtering, inspekcja DNS oraz detekcja anomalii w komunikacji HTTP i HTTPS.

Zespoły SOC powinny rozbudować detekcję o korelację zdarzeń związanych z phishingiem, uruchamianiem plików LNK, użyciem PowerShella, aktywnością nośników USB oraz nietypowym transferem danych do chmury. Dobrym kierunkiem jest także mapowanie zaobserwowanych zachowań do technik MITRE ATT&CK, co ułatwia hunting, priorytetyzację alarmów i budowanie scenariuszy reakcji.

Podsumowanie

Gamaredon pozostaje jednym z najbardziej aktywnych rosyjskich aktorów APT wymierzonych w Ukrainę, ale najnowsze kampanie pokazują, że grupa nie opiera się już wyłącznie na skali działań. Modernizacja narzędzi, większe wykorzystanie legalnych usług do komunikacji i eksfiltracji oraz łączenie prostych technik z bardziej zaawansowanym maskowaniem sprawiają, że zagrożenie staje się trudniejsze do wykrycia i ograniczenia.

Dla obrońców oznacza to konieczność przejścia od statycznych mechanizmów blokowania do modelu opartego na analizie zachowań, segmentacji, kontroli skryptów i rygorystycznym podejściu do nośników wymiennych. Nawet incydent wyglądający na relatywnie prosty może dziś być pierwszym etapem rozbudowanej operacji szpiegowskiej.

Źródła

  1. Dark Reading — Russian APT 'Gamaredon’ Upgrades Its Arsenal, Requiring New Defenses — https://www.darkreading.com/threat-intelligence/russia-apt-gamaredon-arsenal-defense
  2. MITRE ATT&CK — Gamaredon Group (G0047) — https://attack.mitre.org/groups/G0047/
  3. ESET — ESET Research: Russian FSB-linked Gamaredon and Turla team up to target high-profile Ukrainian entities — https://www.eset.com/us/about/newsroom/research/eset-research-gamaredon-and-turla-target-high-profile-ukrainian-entities/
  4. ESET — Gamaredon x Turla collab — https://www.welivesecurity.com/en/eset-research/gamaredon-x-turla-collab/
  5. ESET APT Activity Report Q2 2025–Q3 2025 — https://web-assets.eset.com/fileadmin/ESET/INT/Landing/2026/ATP_Report/APT_Activity_Report_Q2_2025-Q3_2025.pdf