Gamaredon адаптируется: теперь загрузка вредоносного кода через службу BITS

Анализ свежего образца с хэшем "3538618e0ae0f7e73d96843d90323178b1d434262a074fc24be8e36283e7dd92" показывает, что основная схема доставки пока остаётся прежней. Жертва по-прежнему получает RAR-архив во вложении к письму. При его открытии в папку автозагрузки (Startup) помещается HTA-файл, который обеспечивает заражение системы при следующей перезагрузке. Однако после этого в действие вступает обновлённый скрипт загрузчика GamaLoad.

По сравнению с образцами декабря 2025 года новые скрипты стали почти вдвое больше и получили более сложное обфускация (запутывание кода). Раньше скрипты Gamaredon содержали множество бесполезных циклов, которые можно было просто удалить при анализе. Теперь же переменные, определённые внутри этих блоков, активно используются в реальном потоке выполнения. Это усложняет как ручной, так и автоматизированный анализ, требуя от исследователей большей осторожности.

Главное изменение заключается в логике получения вредоносной полезной нагрузки. Ранее Gamaredon в основном полагался на такие инструменты, как "mshta.exe" и "MSXML2.XMLHTTP". После публикации рекомендаций по защите, предлагавших заблокировать эти LOLBins через AppLocker или правила ASR (Attack Surface Reduction), группа была вынуждена искать обходные пути. В ответ Gamaredon добавил новый уровень резервирования в свой скрипт.

Если все стандартные методы получения полезной нагрузки через HTTP-запросы терпят неудачу, скрипт теперь переключается на использование утилиты "bitsadmin". Эта утилита управляет фоновой интеллектуальной службой передачи данных BITS (Background Intelligent Transfer Service), изначально предназначенной для надёжных фоновых загрузок, например, обновлений Windows. Для злоумышленников BITS привлекателен по нескольким причинам.

Во-первых, он обеспечивает устойчивую передачу данных в фоновом режиме с поддержкой прокси. Во-вторых, это абсолютно легитимный системный компонент, активно используемый самой операционной системой. Следовательно, его блокировка в корпоративной среде может нарушить критически важные процессы, такие как получение обновлений безопасности. В-третьих, сетевой трафик BITS выглядит как обычная активность "svchost.exe" с типичными для Microsoft заголовками, что позволяет ему сливаться с легитимным фоновым шумом сети.

Таким образом, переход на BITS является логичным шагом для группы, чьё развитие обычно идёт медленно. Этот метод позволяет Gamaredon снизить операционный шум и обойти защитные меры, нацеленные на более очевидные и шумные LOLBins. Эксперты по безопасности рекомендуют организациям пересмотреть свои политики мониторинга. Теперь необходимо уделять повышенное внимание сессиям BITS, инициированным несистемными процессами или из неподходящих контекстов, а также рассмотреть возможность настройки правил для обнаружения подозрительного использования "bitsadmin". Несмотря на нововведение, ключевые принципы защиты остаются в силе: строгое применение принципа наименьших привилегий, сегментация сети и постоянный мониторинг аномальной активности легитимных системных инструментов.

SHA256

• 05dfa95c820014e8c5c37d4155d8e6f2dba5c6b1ba78148924e02fcf350feca7
• 10196dafe3354f33d04def7dfb642ba9f1f668168f9525b7c236e57b23097b85
• 17d541fd5b384888b4be13baefa221e6ad9b68d1d45bb3031d5cd64f5bc9f18b
• 3538618e0ae0f7e73d96843d90323178b1d434262a074fc24be8e36283e7dd92
• 4a49d54d7bc751b4ad3ade1550777c40c431174f9c22766ca7b8b5305b879799
• 4ec57649262e09f4665108677f3866b04703b12bb6a6cf1fc5c0bc0be334f7c2
• 60d30efc12e08291a9ef14399e6141846b42c9788ace92096a73b94accde6015
• 65a20ea4db674f4955672903dceac1d86b6d7f6515b1574c65a7ac29f698e279
• 6d02b7992126ec44d7cc119cb276d52cd019edb7cf803ab9fed35e324b4e0df5
• 6f130e8aee19ab1281c7934bdebecd3c8225dcb7be0a9d9320ea0bfbcc6b2a49
• 87fc6d5e4e9a07c0693d3e93502b69fff4324c52554c4dc78120416d819e1360
• 8955b5be7c64e2b1c6e5784fee69560c20728cfb61d56ed530eacfeb39edd19a
• 8a1d343d71c796961f8018ee3a87caed8b040012719cafe3cfc76a3305a48b4a
• 8ab82d44e8485b055866e1912a509c8dbf4388ce7b7921f8e4ae077ec8272bda
• 9b40696bd66462f6bb23b0ee7c22503a453ad4fd9920e7ee1c65c8fc60ebe05a
• a0767ed264e28f31544b40991e9dff095409819843ef78f4f9d7dbc757538fa7
• a1a637cd661b102dcc0bb7b10c9dffc8de63d1337cec7be9fc0c8bfdca2f9973
• a5789a5adfa743b2f1c67ff9bf3c8fb551abab664a276d7aa2f1c38b98a1fef0
• b15b5cb704aeb4bb1522f5100972cebcfb853e2e8419439e05f8380fbd2e1462
• b46b106d6425cbe7e1d852731fd881fd60403c6ce470c76501b65a32dd187994
• b8112820e1d74daabedda025399f65cff8d24fa043107eefcdbe4625d08fa1be
• c962db8db440e2a862314a8f1bfc0f678be76afc737c4518fbc19686e9b4db0c
• cd97cc002ed515739ff9d7cf6a026b9ae368db2e64a816e9374b3162fc75def7
• ce90862cb1cd0786e7061a01598389fca9086571d59831dc599311fd362cf3ec
• e93dc2414c23c3b4b5a7b77eb239ed157748281aca0b62cf6c1545dc108d1bf4
• e9685f2954ce826f32d46cafbbd18663f40d5637dff30c266057ad09a9d25cfd
• efd658328ea3e56b58345fc917fc7056bd310c34e9066f8912e03cb1114d5d16
• f10a3555827fa4170329e2c541a73b475cbd06dbddb1ca125fbf1c897f66a968