23/01/25
Группа киберразведки экспертного центра безопасности Positive Technologies (PT Expert Security Center, PT ESC ) выявила и отследила новую APT -группировку под названием DarkGaboon. Для этой группы характерно использование вредоносного ПО Revenge RAT в сочетании с шаблонами финансовых документов, загруженными с легитимных российских ресурсов, связанных с финансовой тематикой. Целями атак становятся финансовые подразделения российских компаний, а активность группировки, по данным специалистов, прослеживается как минимум с мая 2023 года.
В середине октября 2024 года специалисты PT ESC зафиксировали целенаправленую рассылку Revenge RAT, направленную на сотрудников одного из российских банков. Атака начиналась с отправки электронного письма, содержавшего архив-приманку и сопроводительный текст на русском языке, написанный с соблюдением правил синтаксиса и пунктуации, пишет Securitylab.
Исходя из накопленного опыта, специалисты PT ESC пришли к выводу, что новая APT-группировка преследует финансовую выгоду. На это указывает наличие бухгалтерского контекста во всех вредоносных файлах, которые направлены на финансовые подразделения компаний из различных отраслей. Ранее подобная активность была замечена у другой финансово мотивированной группировки — RTM.
В ходе расследования было установлено, что аналогичная активность в отношении российских компаний прослеживается с мая 2023 года. До августа 2024 года злоумышленники использовали серверную инфраструктуру под названием «rampage», однако в октябре 2024 года они перешли на новую инфраструктуру «kilimanjaro». По мнению специалистов, причина смены инфраструктуры связана с тем, что в августе 2024 года она была скомпрометирована после публикации индикаторов компрометации ФинЦЕРТ.
Целями атак группировки DarkGaboon являются финансовые подразделения российских организаций. Это подтверждается тем, что почти половина всех загрузок образцов вредоносного ПО на публичные сервисы проверки файлов приходится на Россию. Злоумышленники подписывают вредоносный код поддельными сертификатами Х.509, якобы выпущенными на имя российских компаний, и хорошо ориентируются в особенностях русского языка, включая обсценную лексику. В ходе исследования специалисты выяснили, что среди жертв группировки оказались кредитно-финансовые учреждения, крупные торговые сети, объекты спорта и туризма, а также компании сферы услуг.
Специалисты отмечают, что DarkGaboon регулярно обновляет свои вредоносные сборки. Ежемесячно выпускается порядка десяти новых экземпляров Revenge RAT и соответствующее количество файлов-приманок. Такой подход позволил группировке более полутора лет скрытно атаковать российские компании, не прибегая к сложным методикам или редким вредоносным программам.
Кроме того, с марта 2024 года наблюдается почти двукратный рост количества ежемесячных обновлений вредоносных сборок по сравнению с 2023 годом. Это может свидетельствовать о том, что группировка не намерена останавливаться на достигнутом.
