Согласно отчету IBM X-Force, в апреле 2024 года наблюдается новая волна активности Hive0051 (также известного как UAC-0010, Gamaredon). Эта активность включает новые версии вредоносного ПО Gamma, которое было впервые обнаружено в ноябре 2023 года. Исследование проникновений, связанных с этой активностью, показало, что основное внимание уделяется военным, полицейским и гражданским государственным учебным центрам в Украине. Ошибки в безопасности данных учебных центров могут использоваться для получения информации о новых соглашениях о безопасности и партнерах, поддерживающих Украину в военной и материальной сферах.
Наблюдения X-Force показывают, что Hive0051 становится все более агрессивным в своих действиях. Он создает несколько отдельных ветвей вредоносного ПО и обладает мгновенной эксфильтрацией файлов и доступом к клавиатуре. Hive0051 также обновляет вредоносное ПО, что свидетельствует о расширении его возможностей. По данным X-Force, Hive0051 использует приманки на украинском языке, связанные с военными и правительственными учебными центрами, для фишинговой атаки.
Операции Hive0051 осуществляются через такие каналы, как Telegram, Telegraph и Filetransfer.io. Он ротирует инфраструктуру с использованием DNS-флудинга по нескольким каналам и проводит ротацию доменов и серверов в течение дня в московском часовом поясе. Исследование X-Force показывает, что Hive0051 поддерживает несколько активных кластеров командных и контрольных центров (C2) с различными вариантами вредоносного ПО, охватывающими множество доменов.
GammaLoad, основное вредоносное ПО, использует различные методы для распространения и связи с C2-серверами. Например, оно может использовать файлы .HTA с вредоносным кодом VBScript или документы Office с удаленными шаблонами для внедрения макросов VBA. После успешного заражения, GammaLoad использует разные методы динамического разрешения DNS для определения IP-адресов C2-серверов, включая WMI ping, HTTP-службу публичного DNS-провайдера, Telegram, Telegraph и Filetransfer.io.
Indicators of Compromise
IPv4
- 157.245.55.151
- 167.99.104.97
- 62.133.62.118
- 62.133.62.120
IPv4 Port Combinations
- 5.252.178.181:9511
Domains
- kaelos.ru
- logitrap.ru
- nutaral.ru
- www.windingroad.ru
URLs
- http://157.245.55.151/getinfo.php
- http://157.245.55.151/login.php
- http://5.252.178.181/fun/cmd.txt
- https://206.189.188.38/contact
- https://filetransfer.io/data-package/CWuEu3PW/download
- https://telegra.ph/test-01-10-259
SHA256
- 138f167e28985f147be5d00a226612b508290ad344e682722d110d1de4effb65
- 55ec220d943c45834506bc4d78bfebdf880fc55c986ae247991e8e593fc2f08c
- 874f5ac094327e5d0a5e78d5fe4870c7663e8a1e4ca9edf27ca3cd86128a8f84
- 93065044d096d7846323637a2a323343eef250c5561de3a05272ae61c4ac7ba5
- 9c6a6d73ea89f2891cf33fe47cdef721e9688c8154f967dad741794be085e48b
- b716b4ec83656f245574bdc47f2e10db1661de81b8b4f25cbcde211e7da707dd
- e5da40980c55932d3c4de0a4c82ce432a827d3a7e2309e37c53b448eceb9f881
- f38382b2386fdd27dc1e131a66c2f7e0c57711c99014ba243c20746dd4ed5358
- f9015ba9d723bc9f3bfefa3b491b3b94a84cc8118beb89c3433d6dca7e79d461
- fcbe551b7f54fbbde6ec9abe2e26f3cd49d10d1cbe6094843199134d35adf347