Киберзащитники борются с группой Gamaredon, которая крадёт данные за 30 минут

Группа быстрого реагирования на компьютерные инциденты Украины (Computer Emergency Response Team of Ukraine, CERT-UA ) предупреждает о действиях хакерской группы Gamaredon, способной похитить данные из систем в течение часа после проникновения.

Группа Gamaredon (также известная как Armageddon, UAC-0010, Shuckworm, Actinium, Iron Tilden, Primitive Bear, Trident Ursa) неоднократно проводила целенаправленные кибератаки на органы государственной власти и критически важную IT-инфраструктуру в Украине.

Атаки Gamaredon обычно начинаются с сообщения в Telegram , WhatsApp и Signal. Хакеры обманом убеждают жертву открыть вредоносные вложения, маскирующиеся под документы Microsoft Word или Excel. Запуск вложений приводит к загрузке и выполнению на устройстве жертвы вредоносных PowerShell-скриптов и вредоносного ПО «GammaSteel».

Хакеры также модифицируют шаблоны Microsoft Word на зараженных компьютерах, чтобы все создаваемые на них документы содержали вредоносный макрос, способный распространить вредоносное ПО Gamaredon на другие системы. Дополнительно, PowerShell-скрипт захватывает данные сеансов из cookie-файлов браузера, что позволяет хакерам контролировать аккаунты жертвы, защищенные двухфакторной аутентификацией ( 2FA ).

В отношении функциональности «GammaSteel», CERT-UA указывает, что вредоносное ПО нацеливается на файлы с определенными расширениями (.doc, .docx, .xls, .xlsx, .rtf, .odt, .txt, .jpg, .jpeg, .pdf, .ps1, .rar, .zip, .7z, .mdb). Интересующие документы злоумышленник экспортирует в течение 30-50 минут.

Еще одна особенность атак Gamaredon заключается в том, что скомпрометированный компьютер может быть заражён в течение недели. И за эту неделю хакеры могут разместить до 120 вредоносных файлов на взломанной системе, увеличивая вероятность повторного заражения. Другими словами, если после процесса очистки системы остается хотя бы один инфицированный файл или документ, он будет снова заражать остальные файлы.

Кроме того, Gamaredon автоматически заражает все подключённые USB-устройства, распространяясь на изолированные сети. Также киберпреступники регулярно, от 3 до 6 раз в день, меняют IP-адреса промежуточных C2 -серверов, что затрудняет блокировку активности или отслеживание действий хакеров.

CERT-UA сообщает, что самым эффективным способом ограничить влияние атак Gamaredon является блокировка или ограничение несанкционированного выполнения программ «mshta.exe», «wscript.exe», «cscript.exe» и «powershell.exe».

Агентство отмечает , что атаки Gamaredon больше направлены ​​на шпионаж и кражу информации, чем на саботаж. Центр также подчеркнул «настойчивую» эволюцию тактики хакеров, которые обновляют свой набор вредоносных программ, чтобы оставаться вне поля зрения, назвав Gamaredon «ключевой киберугрозой».

Ранее исследователи Palo Alto Networks сообщили, что в августе 2022 года группировка Gamaredon провела неудачную атаку на крупную нефтеперерабатывающую компанию в одной из стран-членов НАТО.