Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

APT Gamaredon активно атакует украинские организации с октября 2021 года

10/02/22

hack41-Feb-10-2022-09-33-50-67-AMКиберпреступная группировка Gamaredon (также известная как Armageddon, Primitive Bear и ACTINIUM), предположительно связанная с Россией, с октября 2021 года организовывает фишинговые атаки на украинские предприятия и организации.

За последние шесть месяцев эксперты из The Microsoft Threat Intelligence Center (MSTIC) зафиксировали атаки Gamaredon на организации в Украине, включая правительственные, военные, неправительственные организации, судебные органы, правоохранительные органы и некоммерческие организации. Задачи киберпреступников — кража конфиденциальной информации, сохранение доступа и перемещение по сети жертв.

Одним из векторов доступа, чаще всего используемых Gamaredon, являются фишинговые электронные письма с вредоносными макросами, использующими удаленные шаблоны. Использование удаленного внедрения шаблона гарантирует, что вредоносное содержимое загружается только при необходимости (например, когда пользователь открывает документ). Это помогает злоумышленникам избежать статических обнаружений системами, которые сканируют вложения на наличие вредоносного содержимого.

«С октября 2021 года группировка атаковала учетные записи организаций, имеющих решающее значение для реагирования на чрезвычайные ситуации и обеспечения безопасности территории Украины, а также организаций, которые будут участвовать в координации распределения международной и гуманитарной помощи Украине в условиях кризиса», — пояснили эксперты.

Операционная инфраструктура Gamaredon состоит из множества доменов, что упрощает размещение полезной нагрузки и командного центра. Gamaredon использует более 25 новых уникальных доменов и более 80 уникальных IP-адресов, демонстрируя, что они часто модифицируют или изменяют свою инфраструктуру.

Вредоносное ПО, разработанное Gamaredon, часто использует рандомизированные поддомены для командного центра. В процедуре генерации поддоменов использовался список английских слов, что делало домены более легитимными, в то же время сбивая с толку инструменты сетевой защиты.

Темы:MicrosoftПреступленияУкраина
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...