Команда Medium обнаружила образцы атак, направленных на русскоязычные цели. Образцы атак следуют одному операционному процессу и используют военный контент в качестве приманки. Атаки используют программу самораспаковки 7z-SFX для освобождения и загрузки полезной нагрузки, а также инструмент UltraVNC для поведения при атаке. TTP организации, проводящей эти атаки, имитирует TTP организации Gamaredon.
GamaCopy APT
Злоумышленники использовали военный контент в приманке, чтобы провести атаки при помощи инструментов с открытым исходным кодом. Это позволяет им скрыть свою активность под ложным флагом. Обнаруженные атаки имитирует деятельность организации Gamaredon, атакующей Украину, поэтому их назвали GamaCopy.
Однако другие поставщики систем безопасности приписывают организации Gamaredon множество исторических образцов того же типа. Это может быть результатом успешной проведенной операции под ложным флагом организацией, которая обманула поставщиков.
Образец атаки содержит документы-приманки, которые используют программу самораспаковки 7z-SFX. Образец атаки использовал программу UltraVNC для получения удаленного доступа к хосту, при этом переименовывая ее в обычное имя процесса в системе и подключаясь к указанному командному серверу. Для обфускации содержимого скрипта использовались методы статического анализа.
На основе информации от APT-организаций было установлено, что образец атаки может принадлежать двум организациям: Gamaredon или GamaCopy. Gamaredon с 2013 года атакует украинские военные и неправительственные организации, в то время как GamaCopy была обнаружена в 2023 году и противостоит оборонному сектору и критической инфраструктуре России. Оба организации использовали программу UltraVNC в предыдущих атаках, но цепочка атак Gamaredon отличается от образца, обнаруженного в данном случае. GamaCopy имеет схожие характеристики с данным образцом, включая использование программы 7z-SFX для установки UltraVNC.
Таким образом, образцы атак, обнаруженные командой Medium, указывают на возможную связь с организациями Gamaredon и GamaCopy. Применение военного контента в приманке и использование открытых инструментов позволяют злоумышленникам маскировать свою активность.
Indicators of Compromise
Domain Port Combinations
- fmsru.ru:443
- nefteparkstroy.ru:443
SHA256
- 2b2da38b62916c448235038f09c51f226d96087df531b9a508e272b9e87c909d
- 2da473d1f510d0ddbae074a6c13953863c25be479acedc899c5529ec55bd2a65
- a9799ed289b967be92f920616015e58ae6e27defaa48f377d3cd701d0915fe53
- afcbaae700e1779d3e0abe52bf0f085945fc9b6935f7105706b1ab4a823f565f
- c9ffc90487ddcb4bb0540ea4e2a1ce040740371bb0f3ad70e36824d486058349
- f583523bba0a3c27e08ebb4404d74924b99537b01af5f35f43c44416f600079e