APT Gamaredon активно атакует украинские организации с октября 2021 года
10/02/22
Киберпреступная группировка Gamaredon (также известная как Armageddon, Primitive Bear и ACTINIUM), предположительно связанная с Россией, с октября 2021 года организовывает фишинговые атаки на украинские предприятия и организации.
За последние шесть месяцев эксперты из The Microsoft Threat Intelligence Center (MSTIC) зафиксировали атаки Gamaredon на организации в Украине, включая правительственные, военные, неправительственные организации, судебные органы, правоохранительные органы и некоммерческие организации. Задачи киберпреступников — кража конфиденциальной информации, сохранение доступа и перемещение по сети жертв.
Одним из векторов доступа, чаще всего используемых Gamaredon, являются фишинговые электронные письма с вредоносными макросами, использующими удаленные шаблоны. Использование удаленного внедрения шаблона гарантирует, что вредоносное содержимое загружается только при необходимости (например, когда пользователь открывает документ). Это помогает злоумышленникам избежать статических обнаружений системами, которые сканируют вложения на наличие вредоносного содержимого.
«С октября 2021 года группировка атаковала учетные записи организаций, имеющих решающее значение для реагирования на чрезвычайные ситуации и обеспечения безопасности территории Украины, а также организаций, которые будут участвовать в координации распределения международной и гуманитарной помощи Украине в условиях кризиса», — пояснили эксперты.
Операционная инфраструктура Gamaredon состоит из множества доменов, что упрощает размещение полезной нагрузки и командного центра. Gamaredon использует более 25 новых уникальных доменов и более 80 уникальных IP-адресов, демонстрируя, что они часто модифицируют или изменяют свою инфраструктуру.
Вредоносное ПО, разработанное Gamaredon, часто использует рандомизированные поддомены для командного центра. В процедуре генерации поддоменов использовался список английских слов, что делало домены более легитимными, в то же время сбивая с толку инструменты сетевой защиты.