Бесплатно Экспресс-аудит сайта:

04.02.2023

Новые варианты вредоносного ПО Gamaredon нацелены на критическую инфраструктуру Украины

Государственный центр киберзащиты Украины (ГЦКЗ) обнаружила, что группировка Gamaredon проводит целенаправленные кибератаки на органы государственной власти и критически важную IT-инфраструктуру в стране.

APT-группа, также известная как Actinium, Armageddon, Iron Tilden, Primitive Bear, Shuckworm, Trident Ursa и UAC-0010, неоднократно наносила удары по украинским объектам еще в 2022 году.

Согласно сообщению ГЦКЗ, деятельность группы UAC-0010 характеризуется многоступенчатыми полезными нагрузками шпионского ПО, используемого для поддержания контроля над зараженными хостами. По информации CERT-UA, на данный момент группа использует в своих кампаниях шпионские программы GammaLoad и GammaSteel:

  • GammaLoad — это вредоносная программа-дроппер VBScript, разработанная для доставки полезной нагрузки следующего этапа VBScript с удаленного сервера;
  • GammaSteel — это сценарий PowerShell , способный проводить разведку и выполнять дополнительные команды.

Агентство отмечает, что атаки Gamaredon больше направлены ​​на шпионаж и кражу информации, чем на саботаж. Центр также подчеркнул «настойчивую» эволюцию тактики хакеров, которые обновляют свой набор вредоносных программ, чтобы оставаться вне поля зрения, назвав Gamaredon «ключевой киберугрозой».

Цепочки атак начинаются с целевых фишинговых писем, содержащих RAR-архив, который при открытии активирует длинную последовательность, состоящую из 5 промежуточных этапов, которые в конечном итоге завершаются доставкой полезной нагрузки PowerShell.

  1. LNK-файл (1 шт.);
  2. HTA-файл (1 шт.);
  3. VBScript-файл (3 шт.).

Кроме того, одной из тактик киберпреступников является заражение файла шаблона «C:Users\%USERNAME%AppDataRoamingMicrosoftTemplatesNormal.dotm» с помощью макроса, который генерирует URL-адрес и добавляет его в создаваемый документ в виде ссылки (атака Remote template injection ). Это приведет к заражению всех новых документов, создаваемых на компьютере, и их дальнейшему распространению вредоносного ПО.

Информация, относящаяся к IP-адресам серверов управления и контроля ( C2 ), размещается в Telegram-каналах , которые периодически меняются. Все проанализированные VBScript-дропперы и PowerShell-скрипты являются вариантами вредоносного ПО GammaLoad и GammaSteel соответственно, что позволяет злоумышленнику извлекать конфиденциальную информацию.