• Добро пожаловать в Пиратскую Бухту! Чтобы получить полный доступ к форуму пройдите регистрацию!
  • Гость, стой!

    В бухте очень не любят флуд и сообщения без смысловой нагрузки!
    Чтобы не получить бан, изучи правила форума!

    Если хотите поблагодарить автора темы, или оценить реплику пользователя, для этого есть кнопки: "Like" и "Дать на чай".

Новости Новые варианты вредоносного ПО Gamaredon нацелены на критическую инфраструктуру Украины

Пригоршня

Штурман
Бродяга
Регистрация
26.10.16
Сообщения
2,233
Онлайн
38д 4ч 33м
Сделки
251
Нарушения
0 / 0
Montserrat Semi-Bold.png

Государственный центр киберзащиты Украины (ГЦКЗ) обнаружила, что группировка Gamaredon проводит целенаправленные кибератаки на органы государственной власти и критически важную IT-инфраструктуру в стране.

APT-группа, также известная как Actinium, Armageddon, Iron Tilden, Primitive Bear, Shuckworm, Trident Ursa и UAC-0010, неоднократно наносила удары по украинским объектам еще в 2022 году.

Согласно сообщению ГЦКЗ, деятельность группы UAC-0010 характеризуется многоступенчатыми полезными нагрузками шпионского ПО, используемого для поддержания контроля над зараженными хостами. По информации CERT-UA, на данный момент группа использует в своих кампаниях шпионские программы GammaLoad и GammaSteel:
  • GammaLoad — это вредоносная программа-дроппер VBScript, разработанная для доставки полезной нагрузки следующего этапа VBScript с удаленного сервера;
  • GammaSteel — это сценарий PowerShell, способный проводить разведку и выполнять дополнительные команды.
Агентство отмечает, что атаки Gamaredon больше направлены на шпионаж и кражу информации, чем на саботаж. Центр также подчеркнул «настойчивую» эволюцию тактики хакеров, которые обновляют свой набор вредоносных программ, чтобы оставаться вне поля зрения, назвав Gamaredon «ключевой киберугрозой».

Цепочки атак начинаются с целевых фишинговых писем, содержащих RAR-архив, который при открытии активирует длинную последовательность, состоящую из 5 промежуточных этапов, которые в конечном итоге завершаются доставкой полезной нагрузки PowerShell.
  1. LNK-файл (1 шт.);
  2. HTA-файл (1 шт.);
  3. VBScript-файл (3 шт.).
Кроме того, одной из тактик киберпреступников является заражение файла шаблона «C:\Users\%USERNAME%\AppData\Roaming\Microsoft\Templates\Normal.dotm» с помощью макроса, который генерирует URL-адрес и добавляет его в создаваемый документ в виде ссылки (атака Remote template injection). Это приведет к заражению всех новых документов, создаваемых на компьютере, и их дальнейшему распространению вредоносного ПО.

Информация, относящаяся к IP-адресам серверов управления и контроля (C2), размещается в Telegram-каналах, которые периодически меняются. Все проанализированные VBScript-дропперы и PowerShell-скрипты являются вариантами вредоносного ПО GammaLoad и GammaSteel соответственно, что позволяет злоумышленнику извлекать конфиденциальную информацию.
 
Сверху