Palo Alto Networks сообщила об августовской атаке на нефтеперерабатывающую компанию в одной из стран НАТО

Как сообщают исследователи Palo Alto Networks, за неудачной атакой на крупную нефтеперерабатывающую компанию в одной из стран-членов НАТО стоит группировка Gamaredon. Инцидент произошел 30 августа 2022 года.

С февраля этого года специалисты из Unit 42 обнаружили более 500 новых доменов и 200 образцов вредоносного ПО, приписываемых группировке Gamaredon. Эксперты также отметили многочисленные изменения в тактике злоумышленником за последние 10 месяцев.

По словам аналитиков Palo Alto Networks, Gamaredon начала использовать Fast Flux для сокрытия IP‑адресов своих серверов при помощи манипуляции параметрами DNS. Такая технология повышает устойчивость хакерской инфраструктуры к атакам правоохранительных органов и отслеживанию криминального трафика, так как адрес получателя пакетов постоянно меняется.

Исследователи обнаружили еще несколько козырей в рукаве злоумышленников. Одним из них стали HTML-файлы, распространяемые через вложения и вредоносные ссылки. Эти файлы содержат в себе RAR-архивы, закодированные в Base64. В этих архивах лежат вредоносные LNK-файлы, при нажатии на которые запускается приложение Microsoft HTML Application (mshta.exe), загружающее полезную нагрузку через URL. Злоумышленники используют геоблок, чтобы полезная нагрузка не могла быть загружена из некоторых стран.

Кроме того, арсенал Gamaredon пополнился двумя дропперами, первый из которых представляет собой самораспаковывающийся архив 7-Zip, а второй – исполняемый файл под названием myfile.exe.