Руткиты, туннели и маскировка под “своих”: раскрываем подпольный арсенал APT-группировки Goffee

Positive Technologies выявила ранее неизвестный набор инструментов, который использует кибергруппировка Goffee. Эти средства задействуются на поздних этапах атак и позволяют злоумышленникам долго сохранять доступ к инфраструктуре компаний, не вызывая подозрений. Последствия деятельности Goffee уже ощутили на себе российские организации — в некоторых из них произошли остановки бизнес-процессов.

В течение 2024 года велось расследование серии инцидентов со схожими признаками. После сопоставления данных они были объединены в единый кластер и отнесены к деятельности Goffee. Эта группировка действует как минимум с 2022 года и использует фишинговые рассылки для первоначального проникновения в сети российских компаний. В публичном пространстве информации о ней крайне мало, что объясняется узкой географией атак и стремлением самой группы как можно дольше избегать огласки.

Особое внимание привлёк арсенал, применяемый на поздних стадиях атак. Для скрытого присутствия и управления сетью используются руткит sauropsida, инструменты туннелирования DQuic и BindSycler, а также бэкдор MiRat. Дополнительно задействуются уже известные разработки: модуль owowa, позволяющий похищать учётные записи пользователей, и PowerTaskel — закрытый агент для фреймворка Mythic. Совместное использование новых и старых инструментов обеспечивает гибкость действий и осложняет расследование последствий вторжения.

Удалось также выделить характерный сетевой профиль Goffee. Группировка предпочитает работать с российскими IP-адресами и хостингами, что позволяет замаскировать активность под действия внутренних сотрудников и обходить фильтрацию по географическому признаку. Такой подход особенно эффективен на промежуточных этапах, когда в инфраструктуру доставляются дополнительные вредоносные модули и настраиваются скрытые соединения.

Анализ показывает высокий уровень подготовки: использование собственных средств туннелирования и руткитов усложняет выявление следов вторжения даже в защищённых системах. Это же сильно затрудняет исследование поздних стадий атаки. Основными мишенями остаются российские государственные структуры и связанные с ними организации, а характер активности указывает на задачи кибершпионажа .

Для снижения риска необходим комплекс мер, включающий регулярное управление уязвимостями, постоянный мониторинг событий безопасности и построение инфраструктуры с учётом актуальных политик информационной защиты. Такой подход увеличивает время, необходимое злоумышленникам для продвижения внутри сети, и повышает вероятность обнаружить атаку ещё до наступления критических последствий.