Hacking
Gamaredon: GammaDrop και GammaLoad σε στοχευμένα phishing
Gamaredon αξιοποιεί CVE-2025-8088 και χρησιμοποιεί GammaDrop/GammaLoad σε εκτεταμένες phishing εκστρατείες κατά ουκρανικών φορέων.
Μια μακρόχρονη εκστρατεία κατασκοπείας στον κυβερνοχώρο, που αποδίδεται στην ομάδα Gamaredon (γνωστή και ως UAC-0010 ή Shuckworm), επανεμφανίζεται με νέα τεχνική ωριμότητα και μεγάλη ένταση. Το χαρακτηριστικό αυτής της εκστρατείας είναι ο συνδυασμός κοινωνικής χειραγώγησης, εκμετάλλευσης γνωστής ευπάθειας σε εξαγωγείς αρχείων και της χρήσης δύο “downloaders” που έχουν βαφτιστεί GammaDrop και GammaLoad. Στόχος κυρίως ουκρανικά κυβερνητικά και υπηρεσιακά συστήματα, με πιο επηρεασμένη την Υπηρεσία Ασφαλείας της Ουκρανίας (SSU), σε διάφορες περιοχές όπως Λουχάνσκ, Λβιβ και Τσερνόβτσι.
Πώς ξεκινάει η επίθεση
Οι επιθέσεις αρχίζουν με στοχευμένα spearphishing μηνύματα τα οποία είτε αποστέλλονται από λογαριασμούς κυβερνητικών υπαλλήλων που έχουν ήδη παραβιαστεί, είτε φαίνονται να προέρχονται από αξιόπιστες διευθύνσεις μέσω spoofing. Τα θεματικά κάδρα είναι σαφώς κοινωνικά μηχανικά — κλήσεις σε δικαστικά έγγραφα ή νομικές ειδοποιήσεις — σχεδιασμένα για να κάνουν τον παραλήπτη να ανοίξει το συνημμένο. Το συνημμένο είναι συνήθως ένα συμπιεσμένο αρχείο το οποίο περιέχει τόσο ένα decoy PDF όσο και έναν κρυφό VBScript που έχει εγγραφεί με τεχνικές απόκρυψης.
Η ευπάθεια που αξιοποιείται είναι η CVE-2025-8088, μια ευπάθεια directory traversal στον δημοφιλή εξαγωγέα WinRAR. Με κατάλληλα κατασκευασμένα ονόματα αρχείων εντός του αρχειοθετημένου πακέτου, ο εξαγωγέας καταφέρνει να γράψει αρχεία εκτός του προβλεπόμενου φακέλου εξαγωγής — και, στην πράξη, να τοποθετήσει το κακόβουλο VBScript απευθείας στο φάκελο εκκίνησης των Windows (Startup), εξασφαλίζοντας persistence.
Τεχνική απόκρυψη με NTFS alternate data streams
Μία από τις τεχνικές που αξιοποιούν οι επιτιθέμενοι είναι η χρήση των NTFS alternate data streams (ADS). Αντί να γράψουν ένα εμφανές αρχείο VBScript, το payload μπορεί να ενσωματωθεί σε ένα ADS συνδεδεμένο με ένα decoy αρχείο, καθιστώντας το λιγότερο εμφανές στα συμβατικά εργαλεία ανάλυσης. Σε συνδυασμό με το exploitation της ευπάθειας του WinRAR, το αποτέλεσμα είναι ένα σενάριο όπου ο χρήστης βλέπει ένα αβλαβές PDF αλλά το σύστημα έχει ήδη μολυνθεί.
Οι ερευνητές της HarfangLab κατέγραψαν τουλάχιστον 12 κύματα spearphishing από τον Σεπτέμβριο του 2025 μέχρι και πρόσφατα, με κύχημα την ανάπτυξη αυτοματοποιημένων, obfuscated VBScript που δημιουργούνται σε μαζική κλίμακα. Οι τεχνικές απόκρυψης περιλαμβάνουν τυχαία ονόματα μεταβλητών, junk code και γεννήτριες κώδικα που δυσκολεύουν την ανάλυση.
GammaDrop: πρώτος σταθμός στην αλυσίδα
Το πρώτο στάδιο της μόλυνσης ονομάζεται GammaDrop. Πρόκειται για έναν VBScript downloader, πολύ κρυπτογραφημένο και obfuscated, που ενεργοποιείται κατά την εκκίνηση του συστήματος αν έχει τοποθετηθεί στον φάκελο Startup. Ο ρόλος του είναι απλός αλλά κρίσιμος: να τραβήξει το δεύτερο στάδιο του κακόβουλου λογισμικού από υποδομές ελεγχόμενες από τους επιτιθέμενους και να το αποθηκεύσει τοπικά.
Το ενδιαφέρον εδώ είναι ότι οι επιτιθέμενοι χρησιμοποιούν σύγχρονες υπηρεσίες hosting, όπως Cloudflare Workers, για να φιλοξενήσουν τα αρχεία διανομής. Αυτό επιτρέπει ευέλικτη, ταχύτατη παράδοση payloads και δυσκολότερο εντοπισμό, καθώς οι αιτήσεις μοιάζουν να προέρχονται από νόμιμα CDN/edge υπηρεσίες.
GammaLoad: persistence, αναγνώριση και beaconing
Το δεύτερο στάδιο, GammaLoad, κατεβαίνει συνήθως ως ένα HTA αρχείο το οποίο εκτελείται με το mshta.exe σε κρυφό παράθυρο. Η επιλογή του HTA + mshta.exe είναι σκόπιμη: παρέχει απλοποιημένη εκτέλεση HTML εφαρμογών με πρόσβαση σε scripting αντικείμενα, και συχνά παρακάμπτει περιορισμένες ρυθμίσεις των endpoint antivirus.
Ο GammaLoad λειτουργεί ως μηχανισμός επίμονης παρουσίας και reconnaissance. Ρυθμίζει ένα κλειδί RunOnce στο registry για να διασφαλίσει επανεκκίνηση, εγκαθιστά ένα δεύτερο VBScript που επικοινωνεί περιοδικά με command-and-control (C2) servers και συλλέγει βασικά συστήματα δεδομένα — όνομα υπολογιστή, drive letter, volume serial number. Αυτές οι πληροφορίες ενσωματώνονται σε κάθε beacon, επιτρέποντας στον επιτιθέμενο να διακριτοποιεί μολυσμένες μηχανές και να στοχεύει συγκεκριμένα payloads.
Δυναμική υποδομή και τεχνικές απόκρυψης της επικοινωνίας
Οι επικοινωνίες του κακόβουλου λογισμικού γίνονται με χρήση δυναμικά παραγόμενων URLs και απομίμησης νόμιμων user-agent browser strings. Σε πολλά δείγματα, οι αιτήσεις αποστέλλονται προς domains που εξυπηρετούνται μέσω Cloudflare Workers, με εναλλακτική (fallback) υποδομή σε ρωσικά domains. Σημαντικό στοιχείο είναι η χρήση bot-like user-agents (π.χ. Bingbot) σε νεότερα samples, καθώς και η περιστασιακή παράλειψη του GammaDrop και απευθείας ανάπτυξη του GammaLoad — μία απλοποίηση της αλυσίδας μόλυνσης που αυξάνει την επιτυχία.
Επιπλέον, η ομάδα συχνά εναλλάσσει υποδομές, εφαρμόζοντας fast-flux DNS τεχνικές, dynamic DNS providers και σύντομα χρονικής διάρκειας domains. Αυτό πολλαπλασιάζει την προσπάθεια εντοπισμού και μπλοκαρίσματος από εταιρείες ασφάλειας και CERTs.
Αναδυόμενες παραλλαγές και μορφολογία αρχείων
Αρχικά οι επιθέσεις χρησιμοποιούσαν RAR αρχεία, αλλά τα πιο πρόσφατα κύματα εμφάνισαν αλλαγή σε ARJ αρχιτεκτονική, με τα αρχεία να μιμούνται ZIP ή RAR container. Το ARJ είναι μια παλαιότερη μορφή συμπίεσης, λιγότερο συνηθισμένη σήμερα, και πιθανώς χρησιμοποιείται για να αποφύγει κανόνες ανίχνευσης που εστιάζουν σε RAR/ZIP. Παρά την αλλαγή μορφής, το αποτέλεσμα παραμένει το ίδιο: μεταφορά και εκτέλεση των GammaDrop/GammaLoad payloads.
Γιατί εκμεταλλεύεται τόσο εύκολα τα email
Ένας από τους καθοριστικούς παράγοντες της επιτυχίας είναι η κακή διαμόρφωση email authentication στους οργανισμούς-στόχους. Πολλές ουκρανικές υπηρεσίες δεν εφαρμόζουν σωστά ή αυστηρά SPF, DKIM και DMARC, επιτρέποντας spoofing και την αποστολή μηνυμάτων που φαίνονται να προέρχονται από έγκυρες πηγές. Σε άλλες περιπτώσεις, οι επιτιθέμενοι χρησιμοποιούν κλεμμένα credentials και συνδέονται απευθείας σε λογαριασμούς για να στείλουν κακόβουλα μηνύματα από αξιόπιστους αποστολείς.
Οι ερευνητές εντόπισαν ότι μεγάλο μέρος της υποδομής αποστολής βρίσκεται στο subnet 194.58.66.0/24, που χρησιμοποιείται συχνά ως relay για τις phishing καμπάνιες. Αυτό το pattern διευκολύνει το έργο των αμυνόμενων: συγκεκριμένα IP ranges και domains μπορούν να μπλοκαριστούν προσωρινά για να ανακόψουν μαζικές αποστολές.
Προτεινόμενα τεχνικά μέτρα άμυνας
Για να αντιμετωπιστούν τέτοιες επιθέσεις, οι οργανισμοί πρέπει να ιεραρχήσουν μέτρα τόσο στο δίκτυο όσο και στα endpoints. Σε επίπεδο email, η πλήρης εφαρμογή και επιβολή SPF, DKIM και DMARC με πολιτικές quarantine/reject μειώνει δραστικά τη δυνατότητα spoofing. Η μπλοκάρισμα γνωστών κακόβουλων IP ranges, η ρύθμιση rate-limiting και η χρήση threat intelligence feeds βοηθούν στην έγκαιρη απόκριση.
Στα endpoints, κρίσιμες ενέργειες περιλαμβάνουν την άμεση επιδιόρθωση ευπαθειών όπως η CVE-2025-8088 — ενημέρωση ή παύση χρήσης ευάλωτων WinRAR builds — καθώς και τη χρήση κανόνων Application Control (AppLocker, Windows Defender Application Control) για να απαγορεύεται η εκτέλεση mshta.exe ή HTA αρχείων όπου δεν είναι απαραίτητη. Επιπλέον, οι οργανισμοί πρέπει να ενεργοποιήσουν κανόνες για την ανίχνευση και αφαίρεση NTFS ADS, να εφαρμόσουν περιορισμούς σε script execution (π.χ. περιορισμός vbscript) και να υιοθετήσουν EDR με behavioral detection. Τα backups, τα περιορισμένα δικαιώματα χρηστών και η τακτική εκπαίδευση προσωπικού στην αναγνώριση spearphishing είναι επίσης βασικά.
Ελληνικό και ευρωπαϊκό πλαίσιο
Αν και αυτή η εκστρατεία στοχεύει κυρίως ουκρανικά όργανα, έχει ευρύτερες προεκτάσεις για την Ευρώπη και τη Μεσόγειο. Οι τεχνικές που περιγράφονται — directory traversal σε δημοφιλή εργαλεία, ADS για απόκρυψη και χρήση CDN-like υποδομών — μπορούν εύκολα να αναπαραχθούν εναντίον οποιουδήποτε δημόσιου φορέα ή ιδιωτικής επιχείρησης με αδύναμες πολιτικές ασφαλείας. Επιτηδευμένα, πολλοί οργανισμοί στη νότια Ευρώπη συνεχίζουν να έχουν κενά σε DMARC/SPF/DKIM και παρωχημένα εργαλεία, κάνοντας τους κατάλληλους στόχους.
Σε ευρωπαϊκό επίπεδο, η συνεργασία μεταξύ CERTs, παρόχων cloud και ιδιωτικών εταιρειών ασφάλειας είναι κρίσιμη για την ανταλλαγή indicators of compromise (IoCs) και τη γρήγορη ανάκληση κακόβουλων domains. Η εκπαίδευση του προσωπικού, η τακτική αξιολόγηση τρίτων παρόχων και η συμμόρφωση με κανονισμούς όπως το NIS2 μπορούν να μειώσουν την επίδραση τέτοιων εκστρατειών.
Γιατί έχει σημασία
Η υπόθεση Gamaredon δείχνει ότι η επιτυχία μιας επιχείρησης δεν απαιτεί απαραίτητα την πιο προηγμένη τεχνολογία· αρκούν η συνδυασμένη χρήση γνωστών ευπαθειών, στοχευμένη κοινωνική μηχανική και ένα αυτοματοποιημένο οικοσύστημα υποδομών. Όταν οι αμυνόμενοι έχουν κενά στην εφαρμογή βασικών πολιτικών ασφαλείας, οι επιτιθέμενοι μπορούν να κλιμακώσουν γρήγορα και να διατηρήσουν παρουσία για μεγάλα χρονικά διαστήματα. Η έγκαιρη επιδιόρθωση των ευπαθειών, η αυστηρή πολιτική email authentication, και η χρήση εφαρμογών περιορισμού εκτέλεσης είναι πρακτικές που μειώνουν την επιφάνεια επίθεσης και αυξάνουν το κόστος για τον επιτιθέμενο.
Σε επίπεδο πολιτικής, οι επιθέσεις αυτές υπογραμμίζουν την ανάγκη επενδύσεων στην κυβερνοάμυνα των δημόσιων φορέων και στην εκπαίδευση του προσωπικού που διαχειρίζεται κρίσιμες υποδομές. Το γεγονός ότι χρήματα και προσπάθεια δεν επενδύονται μόνο στην τεχνολογία αλλά και στην οργάνωση και διαδικασίες αποτελεί τον πυρήνα της ανθεκτικότητας.
Τέλος, παρά τη σχετικά απλή τεχνική σύνθεση των payloads, η ταχύτητα, η κλίμακα και η συνεχιζόμενη εξέλιξη της υποδομής καθιστούν την απειλή πραγματική και επίμονη. Ο συνδυασμός τεχνικής ωριμότητας και επιμονής των operators καθιστά τις εκστρατείες Gamaredon έναν σοβαρό δείκτη κινδύνου για φορείς σε γεωπολιτικά ευαίσθητες περιοχές.
