Группа APT-C-53, также известная как Gamaredon, Primitive Bear, Winterflounder и BlueAlpha, продолжает демонстрировать высокую активность, несмотря на многолетнее внимание со стороны экспертов по кибербезопасности. С 2013 года этот коллектив хакеров специализируется на атаках на государственные и военные структуры, ставя своей целью кражу конфиденциальной информации.
Описание
Недавно аналитики 360 Advanced Threat Research Institute обнаружили новую серию вредоносных VBS-скриптов, используемых Gamaredon. Эти скрипты применяют сложные методы обфускации, включая разбиение кода на фрагменты и шифрование в Base64, что значительно затрудняет их анализ. Для повышения эффективности атак злоумышленники используют социальную инженерию, маскируя вредоносные LNK-файлы под документы, связанные с военной тематикой.
Особенности новой кампании
Атака начинается с загрузки зашифрованного скрипта, который после декодирования записывается во временную папку %TEMP%. Далее вредоносный код копируется в системные директории, такие как %Public% и %APPDATA%, обеспечивая устойчивость в системе. Gamaredon активно использует технику резервных C2-серверов, записывая их адреса в реестр Windows. Это позволяет злоумышленникам быстро переключаться между серверами в случае блокировки основного канала управления.
Одной из ключевых особенностей новых образцов является проверка наличия папки %appdata%\360TotalSecurity. Если антивирусное решение 360 не обнаружено, скрипт продолжает работу, модифицируя реестр и создавая запланированные задачи для регулярного выполнения вредоносного кода.
Методы заражения и скрытности
Для маскировки атак Gamaredon изменяет настройки Windows, скрывая расширения файлов, что позволяет LNK-файлам выглядеть как безобидные документы (PDF, DOCX и т. д.). Кроме того, злоумышленники создают одноименные ярлыки для реальных документов, скрывая оригиналы и подменяя их исполняемыми скриптами.
Рекомендации по защите
Для противодействия атакам Gamaredon эксперты рекомендуют усилить защиту электронной почты, внедрив современные системы фильтрации вложений. Также важно обеспечить мониторинг изменений в реестре и активности PowerShell.
Группа Gamaredon остается одной из самых активных APT-групп, и её методы продолжают эволюционировать. Организациям, работающим с конфиденциальными данными, следует оставаться бдительными и своевременно обновлять средства защиты.
Индикаторы компрометации
IPv4
- 103.3.63.54
Domains
- colony-fog-participating-estimates.trycloudflare.com
- estaca.ru
- vergadol.ru
URLs
- des-cinema-democrat-san.trycloudflare.com/history
- graph.org/VectorsWar-03-06
- mit-walking-endorsed-lc.trycloudflare.com/restringent
- te.legra.ph/rwnpxcgrjvnniwnou-03-24
- teletype.in/@din3/VByOMkbbyIt
- www.telegram.me/s/futar23
- www.telegram.me/s/MatrxDens
MD5
- 60d49d1dce771612aa87b885db493147