Контакты
Подписка 2025
ITSEC 2025
Интеграция безопасности в процессы внутренней разработки. 3-4 июня на Форуме ITSEC 2025 (весна)
Регистрируйтесь и участвуйте!

GamaCopy копирует Gamaredon: новые атаки на российскую инфраструктуру

22/01/25

hack50

Специалисты Knownsec 404 обнаружили новые атаки, в ходе которых злоумышленники использовали документы с информацией о военных объектах, чтобы обманом заставить открыть их и установить удаленный доступ к устройству, пишет Securitylab.

Основным методом атаки стало использование 7Z-архивов с функцией самораспаковки (SFX) для внедрения вредоносного ПО. Для выполнения атак хакеры использовали UltraVNC, замаскировав его под стандартные системные процессы. Приманкой для жертв служили документы, содержащие информацию о состоянии и расположении военных объектов.

Внутри архивов находились скрипты, которые устанавливали дополнительные файлы. Скрипты были специально зашифрованы, чтобы усложнить анализ. Скрипты извлекали и запускали дополнительные файлы, включая конфигурацию для UltraVNC, который подключался к удалённым серверам через порт 443. Это позволяет злоумышленникам незаметно управлять заражёнными устройствами.

Атаки схожи с методами группы Gamaredon, но в данном случае атрибуция и тактика указывают на другую группу — GamaCopy, которая специализируется на атаках против российских объектов обороны и инфраструктуры, копируя методы Gamaredon. Главные различия между двумя группами — язык приманки и методы установки программ. Gamaredon чаще использует украинские документы, а GamaCopy — русские. Также GamaCopy применяет другие порты для подключения и более сложные методы шифрования данных.

Специалисты подчёркивают, что использование открытых инструментов и имитация атак других групп помогают злоумышленникам скрывать следы. Это затрудняет их обнаружение и может ввести в заблуждение даже профессионалов. Киберпреступники нацелены не только на сбор информации, но и на создание хаоса и путаницы в системах противника.

Темы:УгрозыKnownsec
КИИ
Защита контейнеров и микросервисной разработки на Форуме ITSEC 2025
Регистрируйтесь и участвуйте 4 июня 2025 →
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Проектирование и защита API на Форуме ITSEC 2025
Посетите 3-4 июня →

Еще темы...

More...