25/08/25
Positive Technologies обнаружила неизвестный ранее инструментарий киберпреступной группы Goffee. Он использовался на поздних этапах развития атаки и позволял злоумышленникам длительное время оставаться незамеченными в инфраструктуре жертв. Деятельность APT-группировки уже привела к серьезным последствиям, включая остановку бизнес-процессов в ряде российских компаний.
В течение 2024 года эксперты Positive Technologies расследовали несколько инцидентов, которые имели схожие характеристики. В результате анализа вредоносная активность была объединена в один кластер и отнесена к действиям APT-группировки Goffee, которая атакует российские организации с использованием фишинга с 2022 года.
Деятельность злоумышленников уже привела к ощутимым последствиям: были зафиксированы случаи остановки бизнес-процессов в пострадавших компаниях. Тем не менее в открытых источниках крайне мало информации об этой группировке. Это связано со стремлением хакеров оставаться незамеченными, а также с ограниченной географией атак: Goffee преимущественно нацелена на Россию.
Экспертам Positive Technologies удалось определить, какой вредоносный арсенал злоумышленники применяли на поздних этапах развития атак. Так, для удаленного управления и сокрытия следов присутствия использовалось несколько новых инструментов: руткит sauropsida, инструменты для туннелирования трафика DQuic и BindSycler, а также бэкдор MiRat. При этом группировка задействовала и старые средства, такие как owowa, вредоносный модуль для получения учетных записей пользователей, и PowerTaskel — непубличный агент для фреймворка Mythic.
Специалисты также выявили сетевой профиль злоумышленников: Goffee используют российские IP-адреса и хостинги. Такая тактика помогает минимизировать риск обнаружения, поскольку маскирует активность под действия внутреннего сотрудника и позволяет обойти фильтрацию трафика по геолокации. За счет этого злоумышленники на промежуточном этапе атаки доставляют вредоносное ПО и настраивают скрытые соединения, оставаясь незамеченными.
«GOFFEE демонстрируют высокую техническую подготовку и уделяют внимание сокрытию атаки: например, используют собственные инструменты для туннелирования трафика и руткит. Это позволяет им длительное время оставаться незамеченными даже в защищенной инфраструктуре, а также затруднить анализ поздних этапов атаки. Группировка преимущественно атакует госорганизации в России с целью шпионажа», — отмечает специалист отдела исследования угроз TI-департамента экспертного центра безопасности Positive Technologies Варвара Колоскова.
Для защиты от подобных угроз необходимо принимать комплекс мер — налаживать процессы управления уязвимостями и мониторинга безопасности, а также выстраивать ИТ-инфраструктуру с учетом актуальных политик ИБ. Такие меры затруднят злоумышленникам продвижение, удлинив их путь и цепочку действий. Это позволит быстрее обнаружить попытки компрометации и предотвратить опасные последствия.
