Sommario
Il gruppo di minaccia avanzata GamaCopy è emerso come un nuovo attore nella cybersicurezza globale, sfruttando tattiche, tecniche e procedure (TTP) che imitano quelle del noto gruppo Gamaredon. Questo approccio punta a confondere i ricercatori di sicurezza e a nascondere le reali responsabilità dietro una “bandiera falsa”. Le recenti attività attribuite includono attacchi sofisticati contro obiettivi in Russia, utilizzando documenti esca legati a strutture militari e strumenti open-source come UltraVNC.
Attacchi con documenti esca e tecniche avanzate
GamaCopy utilizza documenti esca altamente mirati, contenenti informazioni sensibili relative a strutture militari russe. Questi documenti sono integrati in file 7z-SFX (self-extracting) che, una volta aperti, rilasciano payload malevoli sul sistema della vittima.
Analisi del processo di attacco
I file SFX contengono script complessi che:
- Rinominano e configurano UltraVNC come processo di sistema per mascherarne l’uso.
- Stabiliscono connessioni remote verso server di comando e controllo (C2) tramite la porta 443, tipicamente utilizzata per il traffico HTTPS sicuro.
- Utilizzano variabili ritardate (
enabledelayedexpansion) nei file batch per rendere più difficile l’analisi statica del codice.
In un caso, il file “OneDrivers.exe”, in realtà il tool UltraVNC modificato, è stato configurato per rimanere attivo anche in caso di riavvio, garantendo una persistenza a lungo termine sul dispositivo compromesso.
Differenze tra GamaCopy e Gamaredon
Mentre GamaCopy imita molte delle tattiche di Gamaredon, alcune differenze chiave sono emerse durante l’analisi:
- Lingua dei documenti esca: Gamaredon utilizza prevalentemente documenti in ucraino, mentre GamaCopy si concentra su contenuti in russo.
- Uso delle porte C2: Gamaredon preferisce la porta 5612 per le connessioni UltraVNC, mentre GamaCopy utilizza la porta 443 per mascherare il traffico malevolo.
- Metodi di distribuzione: Gamaredon spesso utilizza macro e VBS script, mentre GamaCopy si affida principalmente a file batch e configurazioni SFX.
Questi dettagli sottolineano l’abilità di GamaCopy nel confondere le analisi di attribuzione, sfruttando somiglianze superficiali con Gamaredon per celare la propria identità.
Strategie di mitigazione
Per proteggersi dagli attacchi, è fondamentale implementare misure di sicurezza che possano identificare e bloccare comportamenti anomali. Tra le strategie più efficaci:
- Monitorare l’uso di strumenti legittimi come UltraVNC e configurare avvisi per connessioni insolite verso domini C2 noti come
nefteparkstroy.ruefmsru.ru. - Limitare l’esecuzione di file SFX e rafforzare le politiche di accesso ai dispositivi sensibili.
- Implementare soluzioni EDR (Endpoint Detection and Response) per identificare attività sospette legate a file batch complessi o ritardati.
GamaCopy rappresenta una nuova minaccia nel panorama delle APT, dimostrando che la dissimulazione e l’uso di strumenti open-source sono strategie efficaci per confondere le indagini e compromettere obiettivi sensibili. Nel contesto del conflitto Russia-Ucraina, la capacità di attribuire correttamente gli attacchi diventa cruciale per prevenire escalation e proteggere le infrastrutture critiche.
