- Регистрация
- 26.10.16
- Сообщения
- 2,233
- Онлайн
- 38д 4ч 33м
- Сделки
- 251
- Нарушения
- 0 / 0
APT-группа, также известная как Actinium, Armageddon, Iron Tilden, Primitive Bear, Shuckworm, Trident Ursa и UAC-0010, неоднократно наносила удары по украинским объектам еще в 2022 году.
Согласно сообщению ГЦКЗ, деятельность группы UAC-0010 характеризуется многоступенчатыми полезными нагрузками шпионского ПО, используемого для поддержания контроля над зараженными хостами. По информации CERT-UA, на данный момент группа использует в своих кампаниях шпионские программы GammaLoad и GammaSteel:
- GammaLoad — это вредоносная программа-дроппер VBScript, разработанная для доставки полезной нагрузки следующего этапа VBScript с удаленного сервера;
- GammaSteel — это сценарий PowerShell, способный проводить разведку и выполнять дополнительные команды.
Цепочки атак начинаются с целевых фишинговых писем, содержащих RAR-архив, который при открытии активирует длинную последовательность, состоящую из 5 промежуточных этапов, которые в конечном итоге завершаются доставкой полезной нагрузки PowerShell.
- LNK-файл (1 шт.);
- HTA-файл (1 шт.);
- VBScript-файл (3 шт.).
Информация, относящаяся к IP-адресам серверов управления и контроля (C2), размещается в Telegram-каналах, которые периодически меняются. Все проанализированные VBScript-дропперы и PowerShell-скрипты являются вариантами вредоносного ПО GammaLoad и GammaSteel соответственно, что позволяет злоумышленнику извлекать конфиденциальную информацию.