Новые варианты вредоносного ПО Gamaredon нацелены на критическую инфраструктуру Украины

Государственный центр киберзащиты Украины (ГЦКЗ) обнаружила, что группировка Gamaredon проводит целенаправленные кибератаки на органы государственной власти и критически важную IT-инфраструктуру в стране.

APT-группа, также известная как Actinium, Armageddon, Iron Tilden, Primitive Bear, Shuckworm, Trident Ursa и UAC-0010, неоднократно наносила удары по украинским объектам еще в 2022 году.

Согласно сообщению ГЦКЗ, деятельность группы UAC-0010 характеризуется многоступенчатыми полезными нагрузками шпионского ПО, используемого для поддержания контроля над зараженными хостами. По информации CERT-UA, на данный момент группа использует в своих кампаниях шпионские программы GammaLoad и GammaSteel:

• GammaLoad — это вредоносная программа-дроппер VBScript, разработанная для доставки полезной нагрузки следующего этапа VBScript с удаленного сервера;
• GammaSteel — это сценарий PowerShell, способный проводить разведку и выполнять дополнительные команды.

Агентство отмечает, что атаки Gamaredon больше направлены ​​на шпионаж и кражу информации, чем на саботаж. Центр также подчеркнул «настойчивую» эволюцию тактики хакеров, которые обновляют свой набор вредоносных программ, чтобы оставаться вне поля зрения, назвав Gamaredon «ключевой киберугрозой».

Цепочки атак начинаются с целевых фишинговых писем, содержащих RAR-архив, который при открытии активирует длинную последовательность, состоящую из 5 промежуточных этапов, которые в конечном итоге завершаются доставкой полезной нагрузки PowerShell.

1. LNK-файл (1 шт.);
2. HTA-файл (1 шт.);
3. VBScript-файл (3 шт.).

Кроме того, одной из тактик киберпреступников является заражение файла шаблона «C:\Users\%USERNAME%\AppData\Roaming\Microsoft\Templates\Normal.dotm» с помощью макроса, который генерирует URL-адрес и добавляет его в создаваемый документ в виде ссылки (атака Remote template injection). Это приведет к заражению всех новых документов, создаваемых на компьютере, и их дальнейшему распространению вредоносного ПО.

Информация, относящаяся к IP-адресам серверов управления и контроля (C2), размещается в Telegram-каналах , которые периодически меняются. Все проанализированные VBScript-дропперы и PowerShell-скрипты являются вариантами вредоносного ПО GammaLoad и GammaSteel соответственно, что позволяет злоумышленнику извлекать конфиденциальную информацию.