Хакерская группа Gamaredon (aka Armageddon или Shuckworm), была замечена в развертывании восьми пользовательских двоичных файлов в операциях кибершпионажа против украинских организаций.
Считается, что эта хакерская группа управляется непосредственно российской ФСБ и несет ответственность за тысячи атак в Украине с 2013 года.
Исследователи из команды Symantec Threat Hunter, входящей в состав Broadcom Software, проанализировали восемь образцов вредоносного ПО, использованных Gamaredon против украинских целей в недавних атаках, которые могут пролить свет на важную информацию для защиты от продолжающихся волновых атак.
Файлы, использованные в недавних атаках Gamaredon
Согласно отчету Symantec, отслеживаемые атаки начались в июле с рассылки адресных фишинговых писем, в которых содержались документы Word с добавлением макросов.
Эти файлы запустили файл VBS, из которого был удален "Pteranodon", хорошо задокументированный бэкдор, который Gamaredon разрабатывает и совершенствует уже почти семь лет.
Однако, несмотря на то, что недавние атаки по-прежнему проводятся с использованием фишинговых сообщений электронной почты, эти атаки теперь сбрасывают восемь различных полезных нагрузок, описанных ниже.
Все восемь файлов, отобранных аналитиками Symantec в ходе недавних атак Gamaredon, представляют собой самораспаковывающиеся двоичные файлы 7-zip, что сводит к минимуму требования к взаимодействию с пользователем.
descend.exe — выполняется для размещения файла VBS в «%USERPROFILE%\Downloads\deerbrook.ppt» и «%PUBLIC%\Pictures\deerbrook.ppt» и создает запланированное задание в скомпрометированной системе. VBS связывается с C2 и получает полезную нагрузку.
deep-sunken.exe — загруженная полезная нагрузка, которая выполняется для сброса еще четырех файлов на скомпрометированный компьютер: baby.cmd, baby.dat, basement.exe (двоичный файл wget), vb_baby.vbs. Создается новая запланированная задача, и снова связываются с C2 для следующей полезной нагрузки.
z4z05jn4.egf.exe — полезная нагрузка следующего этапа, которая похожа на предыдущую, но имеет другой C2, отбрасывает файлы в разные папки и использует другие имена файлов.
defiant.exe — выполняется для перетаскивания файлов VBS в «%TEMP%\\deep-versed.nls» и «%PUBLIC\Pictures\deep-versed.nls», а затем создает запланированное задание для их выполнения.
deep-green.exe — инструмент удаленного администрирования UltraVNC, который подключается к ретранслятору.
deep-green.exe — двоичный файл Process Explorer для Microsoft Windows.
deep-green.exe — то же, что и defiant.exe, но с другим жестко закодированным C2 и именами файлов.
deep-green.exe — сбрасывает VBS в «%PUBLIC%\Music\» и создает запланированное задание, которое ищет съемные диски в зараженной системе.
Другие индикаторы компрометации включают URL-адреса C2 и IP-адреса, выделенные AS9123 TimeWeb Ltd., и все они используют уникальную структуру URI:
Ровно год назад игра Pokémon Go начала свое путешествие по миру, устроив беспрецедентные летние каникулы, которые
Цифровизация всех сервисных процессов подразделений крупных компаний позволяет связать их в единую систему. Это
Материнская плата Z170 Gaming K6+, построенная на чипсете Intel Z170 Express предназначена для процессоров Intel в
