Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Grupa Gamaredon, łączona z rosyjskimi operacjami cyberwywiadowczymi, została opisana jako autor nowego wariantu robaka wykorzystującego mechanizm NTFS Alternate Data Streams (ADS) do ukrywania komponentów złośliwego oprogramowania w systemach Windows. Technika ta pozwala przechowywać dane w dodatkowych strumieniach powiązanych z legalnym plikiem, dzięki czemu malware może pozostawać mniej widoczne dla administratorów oraz części narzędzi bezpieczeństwa.
To podejście wpisuje się w szerszy trend nadużywania natywnych funkcji systemowych w celu utrudnienia detekcji, analizy i skutecznej remediacji po incydencie.
W skrócie
- Gamaredon stosuje phishing i złośliwe archiwa do dostarczenia ładunku do środowisk Windows.
- Łańcuch infekcji ma wykorzystywać podatność typu path traversal w WinRAR do umieszczenia pliku HTA w autostarcie.
- Główny moduł robaka, określany jako GammaWorm, ukrywa komponenty w strumieniach ADS systemu NTFS.
- Malware utrzymuje trwałość przez zadania harmonogramu i zmiany w rejestrze.
- Rozprzestrzenianie obejmuje nośniki USB, udziały sieciowe i złośliwe skróty LNK.
- Komunikacja C2 wykorzystuje techniki dead drop resolver, co utrudnia blokowanie infrastruktury atakującego.
Kontekst / historia
Gamaredon od lat należy do najbardziej aktywnych grup prowadzących kampanie cyberespionage wymierzone przede wszystkim w cele ukraińskie. Operatorzy tej grupy są znani z częstego używania skryptów, szybkiego odświeżania infrastruktury oraz działań nastawionych na utrzymywanie długotrwałego dostępu do zaatakowanych systemów.
Najnowsza odsłona kampanii pokazuje jednak wyraźną ewolucję techniczną. Zamiast opierać się głównie na łatwo zauważalnych skryptach i klasycznych dropperach zapisywanych bezpośrednio na dysku, napastnicy coraz chętniej wykorzystują bardziej „bezplikowe” techniki i legalne funkcje Windows. Dzięki temu ograniczają liczbę widocznych artefaktów, a jednocześnie zwiększają odporność operacji na podstawowe działania obronne.
W praktyce oznacza to przejście do modelu, w którym ADS, zadania harmonogramu, wpisy rejestru i publiczne usługi internetowe tworzą spójny łańcuch ukrywania aktywności oraz utrzymywania łączności z infrastrukturą dowodzenia.
Analiza techniczna
Według opisu kampanii punkt wejścia stanowi plik xHTML wykorzystywany w wiadomościach phishingowych. Po jego otwarciu ofiara otrzymuje złośliwe archiwum RAR. Kluczowym elementem infekcji jest wykorzystanie podatności CVE-2025-8088 w WinRAR, która umożliwia zapis pliku poza oczekiwaną ścieżką katalogową. W rezultacie napastnik może umieścić plik HTA w folderze Startup, zapewniając jego uruchomienie przy kolejnym logowaniu użytkownika.
Kolejny etap pobiera dalsze komponenty z infrastruktury operatora i jednocześnie wyświetla dokument-wabik, aby zmniejszyć podejrzenia ofiary. Następnie aktywowany jest GammaWorm, którego wyróżnikiem jest przechowywanie modułów malware w Alternate Data Streams zamiast w klasycznych plikach wykonywalnych. Ponieważ ADS są integralną częścią systemu plików NTFS, ich obecność często nie jest widoczna w standardowych listingach katalogów.
Robak buduje trwałość przy użyciu zadań harmonogramu maskowanych jako rutynowe działania administracyjne. Dodatkowo modyfikuje ustawienia rejestru wpływające na widoczność plików, co utrudnia ręczną analizę systemu. Mechanizm rozprzestrzeniania obejmuje nośniki wymienne oraz udziały sieciowe, gdzie legalne foldery mogą być ukrywane, a w ich miejsce pojawiają się skróty LNK zachęcające użytkownika do uruchomienia złośliwego kodu.
Istotnym elementem kampanii jest również warstwa komunikacji C2. Zamiast polegać wyłącznie na statycznych adresach serwerów, malware może pobierać aktualne wskaźniki infrastruktury z publicznie dostępnych usług internetowych, a następnie zapisywać je lokalnie w rejestrze. Taki model dead drop resolver zwiększa elastyczność operacji i utrudnia obrońcom skuteczne odcięcie zainfekowanych hostów od operatora.
Konsekwencje / ryzyko
Największe zagrożenie wynika z połączenia niskiej widoczności artefaktów z wysoką odpornością operacyjną malware. ADS utrudniają wykrycie komponentów podczas podstawowej analizy systemu plików, a persistence oparty na zadaniach harmonogramu i rejestrze zwiększa szansę na długotrwałe utrzymanie infekcji.
W organizacjach korzystających z nośników wymiennych lub rozbudowanych udziałów sieciowych ryzyko dalszego rozprzestrzeniania rośnie szczególnie szybko. Wykorzystanie skrótów LNK jako nośnika wykonania dodatkowo zwiększa prawdopodobieństwo infekcji wtórnych w obrębie jednego środowiska.
Z perspektywy biznesowej i operacyjnej kompromitacja może prowadzić do kradzieży dokumentów, utraty poufności danych, długotrwałego ukrytego dostępu do stacji roboczych oraz dostarczania kolejnych ładunków na żądanie operatora. Co istotne, częściowe usunięcie widocznych elementów infekcji może nie wystarczyć do trwałego oczyszczenia systemu.
Rekomendacje
Organizacje powinny w pierwszej kolejności zaktualizować WinRAR do wersji eliminującej podatność CVE-2025-8088 oraz sprawdzić, czy niezarządzane segmenty środowiska nie korzystają z podatnych wersji archiwizatora. Warto również ograniczyć uruchamianie plików HTA, skryptów i zawartości pobieranej z poczty elektronicznej lub komunikatorów.
- Monitorować tworzenie i odczyt Alternate Data Streams.
- Analizować nowe i zmodyfikowane zadania harmonogramu.
- Wykrywać pliki HTA, VBScript i inne skrypty uruchamiane z nietypowych lokalizacji.
- Śledzić masowe pojawianie się skrótów LNK na nośnikach USB i udziałach sieciowych.
- Kontrolować zmiany w kluczach rejestru związanych z ukrywaniem plików i konfiguracją Eksploratora.
- Monitorować nietypowe odwołania do publicznych usług internetowych pełniących rolę pośrednich punktów C2.
Dodatkowo zalecane są segmentacja udziałów sieciowych, ograniczenie użycia nośników wymiennych oraz egzekwowanie zasady najmniejszych uprawnień. W środowiskach wysokiego ryzyka warto rozważyć blokowanie wykonywania HTA, LNK i skryptów z katalogów użytkownika oraz lokalizacji tymczasowych.
Jeżeli kompromitacja została potwierdzona, host należy traktować jako w pełni przejęty. Oznacza to konieczność izolacji systemu, zabezpieczenia materiału dowodowego, analizy ADS i mechanizmów persistence, a następnie pełnego odtworzenia stacji roboczej z zaufanego obrazu. Selektywne usuwanie pojedynczych komponentów może nie zapewnić trwałej remediacji.
Podsumowanie
Najnowsza kampania Gamaredon pokazuje, że skuteczność współczesnych operacji cyberwywiadowczych nie musi wynikać wyłącznie z użycia złożonych exploitów. Równie ważne jest umiejętne wykorzystywanie legalnych funkcji systemu operacyjnego, takich jak NTFS ADS, autostart, zadania harmonogramu czy rejestr Windows.
Połączenie phishingu, podatności w popularnym oprogramowaniu użytkowym i ukrywania modułów malware w strumieniach danych tworzy łańcuch infekcji trudny do wykrycia i odporny na powierzchowne działania naprawcze. Dla zespołów SOC, administratorów i specjalistów IR to wyraźny sygnał, że telemetria powinna obejmować również mniej oczywiste artefakty systemowe, a potwierdzoną infekcję należy traktować jako incydent wymagający pełnej rekonstrukcji hosta.
Źródła
- https://www.infosecurity-magazine.com/news/gamaredon-worm-ntfs-data-streams/
- https://attack.mitre.org/groups/G0047/
- https://web-assets.esetstatic.com/wls/en/papers/white-papers/gamaredon-in-2024.pdf
- https://harfanglab.io/insidethelab/gamaredons-pterolnk-analysis/