Gamaredon-APT nutzt Windows-Funktionen und Cloud-Plattformen für C2, um Malware zu verstecken

Der Angriff beginnt mit bewaffneten xHTML-Köder, die eine bösartige RAR-Archivdatei ablegen, die die Schwachstelle CVE‑2025‑8088 WinRAR ausnutzt und so die Codeausführung aus den Windows-Startordnern ermöglicht, ohne die Aufmerksamkeit des Benutzers zu erregen. Sobald ausgelöst, vermeidet die auf VBScript basierende Kette traditionelle ausführbare Dateien.

Stattdessen legt sie mehrere Skript-Phasen übereinander, ängig neue Payloads aus entfernter Infrastruktur herunterladen und ausführen kann. Gamaredon-Malware Windows und Cloud-C2 Diese Architektur verwandelt den gesamten Infektionsablauf in einen Stapel üren.

Jede Stufe kann den Opfer-Host profilieren, ihre Konfiguration aktualisieren und auf Abruf neue Malware bereitstellen. Selbst wenn Verteidiger Teile der Kette entfernen, behalten die überlebenden Komponenten genügend Fähigkeiten, um den Zugriff wiederherzustellen, wodurch partielle Bereinigungen weitgehend wirkungslos bleiben.

Technik und Auswirkungen

Das Kernstück des neuen Werkzeugsets ist GammaWorm, ein massives VBScript-Skript, das fast vollständig in NTFS-Alternate Data Streams (ADS), einer obskuren Windows-Dateisystem-Funktion, versteckt ist.

Statt sichtbare Dateien abzulegen, speichert GammaWorm seine Module in ADS, die an bestehende Benutzerprofilpfade angehängt sind, sodass Verzeichnisauflistungen und Dateigrößen normal erscheinen.

Persistenz zu gewährleisten, erstellt der Wurm RunOnce-Einträge Registrierungs-HKEY und geplante Aufgaben, die Code direkt aus diesen versteckten Streams ausführen, während gleichzeitig Explorer-Einstellungen geändert werden, Dateierweiterungen und geschützte Systemdateien zu verbergen, was die Entdeckungswahrscheinlichkeit weiter verringert.

Moegliche Anwendungen

Nach der Installation breitet sich GammaWorm über USB- und Netzwerklaufwerke aus, indem es sich auf jedes Ziel kopiert, echte Ordner versteckt und diese durch bösartige LNK-Verknüpfungen ersetzt, die sowohl den erwarteten Ordner öffnen als auch den Wurm stumm über mshta.exe und wscript.exe ausführen.

Zudem erstellt GammaWorm täuschende Verknüpfungen mit provokativen Dateinamen in der ukrainischen Sprache, Benutzer zum Klicken zu verleiten und die Ausbreitung über gemeinsam genutzte Medien zu verstärken.

Parallel dazu führt GammaWorm einen kontinuierlichen Schleifenprozess aus, der als versteckter Backdoor dient, regelmäßig seine C2-Komponente kontaktiert, Systemfingerabdrücke exfiltriert und neue VBScript-Payloads für die Ausführung Arbeitsspeicher abruft; dabei werden Host-Daten in zufällige HTTP-Header kodiert, um normalen Webverkehr nachzuahmen.

Technischer Hintergrund

Gamaredon verstärkt diese fileless-Techniken, indem es legitime Cloud- und Messaging-Plattformen für die Verwaltung der C2-Komponenten missbraucht.

GammaWorm nutzt Dead Drop Resolver, die auf Diensten wie Telegraph/Teletype über graph.org, Cloudflare-Worker-Subdomains und S3-kompatible Speicherlösungen gehostet werden, Live-Server aufzulösen; jede entdeckte URL wird in dedizierten Registry-Schlüsseln gespeichert und später abgerufen, um die aktuellen C2-Endpunkte zu ermitteln.

Zudem nutzt die Gruppe öffentliche Telegram-Kanäle als Dead Drops, zieht mit curl.exe HTML-Inhalte und analysiert darin eingebettete IP-Adressen, die als aktive C2-Knoten fungieren. Dieses hybride Design ermöglicht eine schnelle Domänenrotation, die Verschleierung einen nahtlosen Rückgriff auf direkte IP-Adressen, falls Cloud-Dienste ausfallen.