Cyble Research and Intelligence Labs (CRIL) выявила активную кампанию APT-группы Gamaredon, отслеживаемой Microsoft как Aqua Blizzard, направленную на украинских военнослужащих с помощью фишинговых писем.
Gamaredon APT
Эти письма, использующие в качестве приманки военную повестку, содержат вредоносные XHTML-вложения, выполняющие обфусцированный JavaScript-код. При открытии письма загружается вредоносный архив, содержащий файл ярлыка Windows (LNK). При выполнении этот LNK-файл инициирует выполнение удаленного .tar-архива, анонимно размещенного на TryCloudflare[.]com через mshta.exe, используя функцию одноразового туннеля, чтобы избежать обнаружения.
Кампания является масштабной и скоординированной, с широким распространением аналогичных файлов, что свидетельствует о постоянной активности. Злоумышленники применяют сложные тактики для отслеживания эффективности кампании, включая использование 1-пиксельного удаленного изображения для отслеживания взаимодействия с жертвами. По данным Cyble, Gamaredon действует как минимум с 2013 года, занимаясь кибершпионажем в отношении украинских государственных учреждений, военных и критически важных объектов инфраструктуры.
Indicators of Compromise
SHA256
- 0c823adb18cf2583222e6fbe73c08cac8147d20b02fbe88d51cac2a1c628a30b
