Контакты
Подписка 2025
ITSEC 2025
Интеграция безопасности в процессы внутренней разработки. 3-4 июня на Форуме ITSEC 2025 (весна)
Регистрируйтесь и участвуйте!

Хакеры DarkGaboon полтора года атакуют финансовые подразделения российских компаний

23/01/25

hack164-1

Группа киберразведки экспертного центра безопасности Positive Technologies (PT Expert Security Center, PT ESC ) выявила и отследила новую APT -группировку под названием DarkGaboon. Для этой группы характерно использование вредоносного ПО Revenge RAT в сочетании с шаблонами финансовых документов, загруженными с легитимных российских ресурсов, связанных с финансовой тематикой. Целями атак становятся финансовые подразделения российских компаний, а активность группировки, по данным специалистов, прослеживается как минимум с мая 2023 года.

В середине октября 2024 года специалисты PT ESC зафиксировали целенаправленую рассылку Revenge RAT, направленную на сотрудников одного из российских банков. Атака начиналась с отправки электронного письма, содержавшего архив-приманку и сопроводительный текст на русском языке, написанный с соблюдением правил синтаксиса и пунктуации, пишет Securitylab.

Исходя из накопленного опыта, специалисты PT ESC пришли к выводу, что новая APT-группировка преследует финансовую выгоду. На это указывает наличие бухгалтерского контекста во всех вредоносных файлах, которые направлены на финансовые подразделения компаний из различных отраслей. Ранее подобная активность была замечена у другой финансово мотивированной группировки — RTM.

В ходе расследования было установлено, что аналогичная активность в отношении российских компаний прослеживается с мая 2023 года. До августа 2024 года злоумышленники использовали серверную инфраструктуру под названием «rampage», однако в октябре 2024 года они перешли на новую инфраструктуру «kilimanjaro». По мнению специалистов, причина смены инфраструктуры связана с тем, что в августе 2024 года она была скомпрометирована после публикации индикаторов компрометации ФинЦЕРТ.

Целями атак группировки DarkGaboon являются финансовые подразделения российских организаций. Это подтверждается тем, что почти половина всех загрузок образцов вредоносного ПО на публичные сервисы проверки файлов приходится на Россию. Злоумышленники подписывают вредоносный код поддельными сертификатами Х.509, якобы выпущенными на имя российских компаний, и хорошо ориентируются в особенностях русского языка, включая обсценную лексику. В ходе исследования специалисты выяснили, что среди жертв группировки оказались кредитно-финансовые учреждения, крупные торговые сети, объекты спорта и туризма, а также компании сферы услуг.

Специалисты отмечают, что DarkGaboon регулярно обновляет свои вредоносные сборки. Ежемесячно выпускается порядка десяти новых экземпляров Revenge RAT и соответствующее количество файлов-приманок. Такой подход позволил группировке более полутора лет скрытно атаковать российские компании, не прибегая к сложным методикам или редким вредоносным программам.

Кроме того, с марта 2024 года наблюдается почти двукратный рост количества ежемесячных обновлений вредоносных сборок по сравнению с 2023 годом. Это может свидетельствовать о том, что группировка не намерена останавливаться на достигнутом.

Темы:Positive TechnologiesПреступленияAPT-группы
КИИ
Защита контейнеров и микросервисной разработки на Форуме ITSEC 2025
Регистрируйтесь и участвуйте 4 июня 2025 →
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Проектирование и защита API на Форуме ITSEC 2025
Посетите 3-4 июня →

Еще темы...

More...