Пара слов о группе Gamaredon, которая крадёт данные за 30 минут.

Шалом! Группа быстрого реагирования на компьютерные инциденты Украины aka CERT-UA предупреждает о действиях хакерской группы Gamaredon, способной похитить данные из систем в течение часа после проникновения.

Группа Gamaredon aka Armageddon, UAC-0010, Shuckworm, Actinium, Iron Tilden, Primitive Bear, and Trident Ursa неоднократно проводила целенаправленные кибератаки на органы государственной власти и критически важную IT-инфраструктуру в Украине.

Атаки Gamaredon обычно начинаются с сообщения в Telegram, WhatsApp и Signal. Хакеры обманом убеждают жертву открыть вредоносные вложения, маскирующиеся под документы Microsoft Word или Excel. Запуск вложений приводит к загрузке и выполнению на устройстве жертвы вредоносных скриптов и вредоносного ПО «GammaSteel».

Хакеры также модифицируют шаблоны Microsoft Word на зараженных компьютерах, чтобы все создаваемые на них документы содержали вредоносный макрос, способный распространить вредоносное ПО Gamaredon на другие системы. Дополнительно, скрипт захватывает данные сеансов из cookie-файлов браузера, что позволяет хакерам контролировать аккаунты жертвы, защищенные 2FA.

Функциональность

В отношении функциональности «GammaSteel», CERT-UA указывает, что вредоносное ПО нацеливается на файлы с определенными расширениями (.doc, .docx, .xls, .xlsx, .rtf, .odt, .txt, .jpg, .jpeg, .pdf, .ps1, .rar, .zip, .7z, .mdb). Интересующие документы злоумышленник экспортирует в течение 30-50 минут.

Еще одна особенность атак Gamaredon заключается в том, что скомпрометированный компьютер может быть заражён в течение недели. И за эту неделю хакеры могут разместить до 120 вредоносных файлов на взломанной системе, увеличивая вероятность повторного заражения. Другими словами, если после процесса очистки системы остается хотя бы один инфицированный файл или документ, он будет снова заражать остальные файлы.

Кроме того, Gamaredon автоматически заражает все подключённые USB-устройства, распространяясь на изолированные сети. Также киберпреступники регулярно, от 3 до 6 раз в день, меняют IP-адреса промежуточных C2-серверов, что затрудняет блокировку активности или отслеживание действий хакеров.

CERT-UA сообщает, что самым эффективным способом ограничить влияние атак Gamaredon является блокировка или ограничение несанкционированного выполнения программ «mshta.exe», «wscript.exe», «cscript.exe» и «powershell.exe».

Агентство отмечает , что атаки Gamaredon больше направлены ​​на шпионаж и кражу информации, чем на саботаж. Центр также подчеркнул «настойчивую» эволюцию тактики хакеров, которые обновляют свой набор вредоносных программ, чтобы оставаться вне поля зрения, назвав Gamaredon «ключевой киберугрозой».

Ранее исследователи Palo Alto Networks сообщили, что в августе 2022 года группировка Gamaredon провела неудачную атаку на крупную нефтеперерабатывающую компанию в одной из стран-членов НАТО.

Тёмный Берег — Читает вся твоя синагога! А ест халу и дует шофар в моей курилке.

Strimer’s Weekdays — Канал контентщика Тёмного Берега.