Gamaredon, также известный как Primitive Bear, ACTINIUM и Shuckworm, является уникальным игроком в экосистеме российского шпионажа, который направлен на широкий круг почти исключительно украинских организаций. В то время как исследователям часто приходится сталкиваться с трудностями в обнаружении доказательств российской шпионской деятельности, Gamaredon заметно выделяется.
За масштабными кампаниями "Gamaredon" обычно следует сбор данных, направленный на конкретные цели, выбор которых, скорее всего, мотивирован целями шпионажа. Параллельно с этим развертываются различные механизмы и инструменты, призванные обеспечить максимально возможный доступ к этим объектам. Одним из таких инструментов является распространяющийся по USB червь, который Check Point назвали LitterDrifter.
Червь LitterDrifter написан на языке VBS и имеет две основные функциональные возможности: автоматическое распространение по USB-накопителям и связь с широким и гибким набором командно-контрольных серверов. Эти функции реализованы в соответствии с целями группы, что позволяет эффективно поддерживать постоянный канал управления (C2) для широкого круга целей. LitterDrifter, по-видимому, является развитием ранее сообщавшейся активности, связывающей группу Gamaredon с распространяющимся USB Powershell-червем.
- Gamaredon продолжает ориентироваться на широкий спектр украинских целей, но в силу природы USB-червя Check Point обнаружили признаки возможного заражения в таких странах, как США, Вьетнам, Чили, Польша и Германия. Кроме того, Check Point наблюдали признаки заражения в Гонконге. Все это может свидетельствовать о том, что, как и другие USB-черви, LitterDrifter распространился за пределы предполагаемых целей.
- Недавно группа приступила к развертыванию червя LitterDrifter, написанного на языке VBS и предназначенного для распространения через съемные USB-накопители и обеспечения безопасности канала C2.
- Инфраструктура Gamaredon остается чрезвычайно гибкой и изменчивой, но в то же время сохраняет ранее отмеченные характеристики и закономерности.
Indicators of Compromise
Domains
- absorbeni.ru
- acaenaso.ru
- aethionemaso.ru
- ahmozpi.ru
- andamanos.ru
- arabianos.ru
- atonpi.ru
- aychobanpo.ru
- ayzakpo.ru
- badrupi.ru
- barakapi.ru
- boskatrem.ru
- brudimar.ru
- credomched.ru
- crisiumbi.ru
- dakareypa.ru
- decorous.ru
- dumerilipi.ru
- gayado.ru
- geminiso.ru
- heartbreaking.ru
- hoanzo.ru
- judicious.ru
- karoanpa.ru
- lamentable.ru
- lestemps.ru
- nahtizi.ru
- nebtoizi.ru
- nubiumbi.ru
- ozaharso.ru
- procellarumbi.ru
- quyenzo.ru
- ragibpo.ru
- raidla.ru
- ramizla.ru
- sabirpo.ru
- samiseto.ru
- squeamish.ru
- suizibel.ru
- superficial.ru
- talehgi.ru
- triticumos.ru
- undesirable.ru
- urdevont.ru
- valefgo.ru
- vasifgo.ru
- vilaverde.ru
- vloperang.ru
- zerodems.ru
MD5
- 1536ec56d69cc7e9aebb8fbd0d3277c4
- 1c49d04fc0eb8c9de9f2f6d661826d24
- 1da0bf901ae15a9a8aef89243516c818
- 2239800bfc8fdfddf78229f2eb8a7b95
- 2996a70d09fff69f209051ce75a9b4f8
- 42bc36d5debc21dff3559870ff300c4e
- 495b118d11ceae029d186ffdbb157614
- 49d1f9ce1d0f6dfa94ad9b0548384b3a
- 4c2431e5f868228c1f286fca1033d221
- 579f1883cdfd8534167e773341e27990
- 6349dd85d9549f333117a84946972d06
- 8096dfaa954113242011e0d7aaaebffd
- 83500309a878370722bc40c7b83e83e3
- 86d28664fc7332eafb788a44ac82a5ed
- 88aba3f2d526b0ba3db9bc3dfee7db39
- 96db6240acb1a3fca8add7c4f9472aa5
- 9d9851d672293dfd8354081fd0263c13
- bbb464b327ad259ad5de7ce3e85a4081
- cbeaedfa84b02a2bd41a70fa92a46c36
- cdae1c55ec154cd6cef4954519564c01