Бесплатно Экспресс-аудит сайта:

Проверить
ГлавнаяО компанииПочему?Аудит безопасностиУстранение уязвимостейFAQНовостиКонтакты
04.02.2023

Новые варианты вредоносного ПО Gamaredon нацелены на критическую инфраструктуру Украины

Государственный центр киберзащиты Украины (ГЦКЗ) обнаружила, что группировка Gamaredon проводит целенаправленные кибератаки на органы государственной власти и критически важную IT-инфраструктуру в стране.

APT-группа, также известная как Actinium, Armageddon, Iron Tilden, Primitive Bear, Shuckworm, Trident Ursa и UAC-0010, неоднократно наносила удары по украинским объектам еще в 2022 году.

Согласно сообщению ГЦКЗ, деятельность группы UAC-0010 характеризуется многоступенчатыми полезными нагрузками шпионского ПО, используемого для поддержания контроля над зараженными хостами. По информации CERT-UA, на данный момент группа использует в своих кампаниях шпионские программы GammaLoad и GammaSteel:

  • GammaLoad — это вредоносная программа-дроппер VBScript, разработанная для доставки полезной нагрузки следующего этапа VBScript с удаленного сервера;
  • GammaSteel — это сценарий PowerShell , способный проводить разведку и выполнять дополнительные команды.

Агентство отмечает, что атаки Gamaredon больше направлены ​​на шпионаж и кражу информации, чем на саботаж. Центр также подчеркнул «настойчивую» эволюцию тактики хакеров, которые обновляют свой набор вредоносных программ, чтобы оставаться вне поля зрения, назвав Gamaredon «ключевой киберугрозой».

Цепочки атак начинаются с целевых фишинговых писем, содержащих RAR-архив, который при открытии активирует длинную последовательность, состоящую из 5 промежуточных этапов, которые в конечном итоге завершаются доставкой полезной нагрузки PowerShell.

  1. LNK-файл (1 шт.);
  2. HTA-файл (1 шт.);
  3. VBScript-файл (3 шт.).

Кроме того, одной из тактик киберпреступников является заражение файла шаблона «C:Users\%USERNAME%AppDataRoamingMicrosoftTemplatesNormal.dotm» с помощью макроса, который генерирует URL-адрес и добавляет его в создаваемый документ в виде ссылки (атака Remote template injection ). Это приведет к заражению всех новых документов, создаваемых на компьютере, и их дальнейшему распространению вредоносного ПО.

Информация, относящаяся к IP-адресам серверов управления и контроля ( C2 ), размещается в Telegram-каналах , которые периодически меняются. Все проанализированные VBScript-дропперы и PowerShell-скрипты являются вариантами вредоносного ПО GammaLoad и GammaSteel соответственно, что позволяет злоумышленнику извлекать конфиденциальную информацию.