Хакеры Gamaredon сменили пластинку. Теперь они пакуют вирусы в старые архивы ARJ для обхода антивирусов

Gamaredon продолжает атаковать украинские госучреждения через адресные фишинговые письма и уязвимость CVE-2025-8088 в WinRAR. Исследователи нашли 12 волн рассылок, которые идут как минимум с сентября 2025 года. Кампания остаётся активной: последние письма в выборке датированы концом апреля 2026 года, а в мае группа уже перешла на новый формат архивов.

Gamaredon также известна как Aqua Blizzard, Primitive Bear, Shuckworm и UAC-0010. Группа много лет работает почти исключительно по украинским целям. В новой кампании под удар попали госадминистрации, суды, прокуратуры, правоохранительные структуры, воинские части и региональные подразделения СБУ. Чаще атаковали не центральные офисы, а областные и местные учреждения.

Цепочка заражения начиналась с письма, похожего на служебное уведомление. Один из примеров отправили 18 марта 2026 года со взломанной почты чиновника местной администрации в Одесской области. В письме использовалась юридическая приманка: номер дела, дата входящего заявления, имя судьи-докладчика и документ с названием «судова повiстка». Получатели были спрятаны в поле BCC, а видимые адреса отправителя и получателя совпадали.

Вложение содержало RAR-архив с названием на украинском языке, имитирующим судебную повестку. Архив эксплуатировал CVE-2025-8088, уязвимость обхода пути в WinRAR до версии 7.13. При распаковке жертва видела PDF-файл со случайными символами, а настоящий VBS-загрузчик GammaDrop прятался в альтернативном потоке данных NTFS и записывался в папку автозагрузки Windows.

Путь внутри архива был специально усложнён повторяющимися переходами между каталогами. Исследователи считают, что такая конструкция могла помогать обходить защиту WinRAR от path traversal. После распаковки PDF работал как отвлекающий файл, а VBS запускался при следующем входе пользователя в систему.

Первый этап получил название GammaDrop. Это сильно обфусцированный VBS-файл размером 78 КБ. Он скачивает удалённый HTA-файл GammaLoad с C2-сервера на Cloudflare Workers, сохраняет его во временный каталог и запускает. Адрес следующей стадии собирается из параметров конкретной кампании: базового домена, ID рассылки, пути, даты, суффикса, случайного числа и расширения.

Для волны от 18 марта 2026 года использовался Cloudflare Workers-домен, ID кампании DvvsUa-18-03, путь knife/bennet/juice, суффикс admiration и расширение .tif. В апрельской волне логика сохранилась, но параметры изменились: образец от 27 апреля использовал другой Cloudflare Workers-домен, ID MouBig-27-04, путь confer, суффикс employee и расширение .bmp.

В некоторых архивах GammaDrop вообще пропускался: вредоносное вложение сразу разворачивало GammaLoad. Вторая стадия представляла собой HTA-файл размером 287 КБ, который запускался в скрытом окне. Внутри HTA находился VBScript, завёрнутый в HTML.

Обфусцированный VBScript занимал примерно 4000-5000 строк, но после деобфускации сокращался примерно до 130 строк рабочей логики. GammaLoad закреплялся в системе, собирал сведения о заражённом компьютере, связывался с C2-серверами и ждал следующую нагрузку.

Для закрепления GammaLoad использовал механизм RunOnce в пользовательской ветке реестра Windows. Такой способ позволяет запустить сохранённый скрипт при следующем входе пользователя, но не требует отдельной службы или драйвера.

Внутренний слой собирал имя компьютера, системный диск и серийный номер тома. Эти данные превращались в идентификатор жертвы и передавались на управляющий сервер внутри заголовка User-Agent. В одном из образцов строка маскировалась под обычный браузер, а затем добавляла имя устройства, серийный номер и отметку времени.

Основной C2 работал через Cloudflare Workers, резервный канал использовал RU-домен, тоже скрытый за Cloudflare. Каждая итерация маяка создавала новый путь со случайной строкой и одним из заранее заданных расширений. Такой приём затрудняет простую фильтрацию по одному постоянному URL.

GammaLoad работал в цикле и ждал около 3,5 минуты между обращениями. Сначала он связывался с основным C2 и проверял размер ответа. Если ответ был слишком коротким или сервер возвращал ошибку 404, вредоносный код ждал 10 секунд и переходил к резервному серверу. Полученная нагрузка выполнялась внутри уже запущенного процесса сценария.

Вариант GammaLoad от 27 апреля 2026 года изменил внешние признаки, но сохранил назначение. В нём использовался другой User-Agent, другие разделители в строке идентификатора, новый формат имени жертвы и статическая метка вместо времени. Этот вариант работал с одним C2 и без резервного канала.

Рассылки шли примерно раз в месяц. Самое раннее письмо с эксплуатацией CVE-2025-8088 датировано 26 сентября 2025 года. Сначала вложения доставляли HTA-файлы, в марте 2026 года заметен переход к VBS, а к концу апреля появились VBScript-файлы, замаскированные под encoded VBScript с расширением .vbe.

Часть писем отправлялась со взломанных аккаунтов госструктур, полиции и судебной системы. В других случаях оператор подделывал отправителя через почтовые реле и украденные учётные данные. Схема часто срабатывала из-за слабой или неполной настройки SPF, DKIM и DMARC у имитируемых доменов.

Один IP-адрес из подсети 194.58.66.0/24 встречался в образцах с декабря 2025-го по апрель 2026 года. В декабре через релейный сервер отправлялось письмо от имени Офиса генпрокурора Украины. SPF проходил для домена релея, DKIM отсутствовал, DMARC проваливался, но политика домена была выставлена в quarantine, а не reject. Письмо получило повышенную оценку риска, но дошло до адресата.

В апреле тот же IP использовал украденные учётные данные у украинского хостинг-провайдера. Письма маскировались под CourtID и НАБУ и уходили в санаторий, связанный с СБУ. Проверка SPF проходила, DKIM отсутствовал, а DMARC для имитируемых доменов не выполнялся, потому что нужные записи не были опубликованы.

Другие релейные IP из той же подсети появлялись в сентябрьских и августовских письмах. В обоих случаях использовались украденные аккаунты украинских организаций и случайные HELO-строки вместо нормальных имён хостов.

Отдельный приём связан с припаркованным доменом бывшего продавца мобильных телефонов из частично оккупированной Запорожской области. В июле 2025 года у него изменили почтовые настройки: добавили MX и мягкую SPF-запись для легального почтового релея. Исследователи считают, что злоумышленники получили доступ к аккаунту владельца у регистратора. За счёт старого домена и легального релея письма проходили SPF и DKIM с чистой оценкой.

В мае 2026 года Gamaredon снова поменял упаковку. В трёх волнах 5, 7 и 8 мая группа перешла с RAR на ARJ-архивы, замаскированные под .rar или .zip. Они доставляли GammaDrop HTA, который работал по той же логике: загружал следующую стадию с Cloudflare Workers, Cloudflare quick tunnels или нового standalone-домена. В ID кампаний прямо появились отсылки к ARJ: ProbArjDev-08-05, GisArjUkr-07-05 и arjCF-05-05.

Инфраструктура строилась на быстро сменяемых доменах и легитимных сервисах. В одной цепочке использовались 3 Cloudflare-проксированных хоста: первый доставлял GammaLoad, второй принимал маяки GammaLoad и отдавал третью стадию, а третий работал как резервный C2. Сертификаты Let's Encrypt выдавались незадолго до фишинговой волны, а инфраструктура второй стадии ротировалась примерно через неделю.

Для резервных C2 заметен повторяющийся шаблон: оператор регистрировал пары доменов в зонах .ru и .online в один день, через одного регистратора и с одинаковой парой Cloudflare nameserver. Такой приём встречался в инфраструктуре Gamaredon как минимум с сентября 2025 года.

В отдельных образцах использовался сервис проверки хостов для получения актуальных IP fast flux-доменов. Также встречались DDNS-хосты No-IP. IP-адреса за такими доменами жили недолго и часто обслуживали несколько вредоносных доменов в течение одного дня.

Атрибуция к Gamaredon основана на сочетании признаков: украинские государственные цели, крупные обфусцированные VBS и HTA-загрузчики, эксплуатация CVE-2025-8088 через вредоносные архивы, Cloudflare Workers, резервные домены, fast flux и повторяющиеся почтовые приёмы. Эти элементы совпадают с ранее описанными кампаниями группы.

Главный риск кампании не ограничивается одной уязвимостью WinRAR. Gamaredon использует реальные или взломанные госаккаунты, слабые настройки почтовой аутентификации и привычные для украинских учреждений темы вроде судебных повесток. Даже после закрытия CVE-2025-8088 у группы остаётся рабочий набор приёмов: менять архивные форматы, домены, расширения и параметры загрузчиков, сохраняя общую цепочку заражения.