Gamaredon обновила арсенал: новая цепочка атак через WinRAR и легитимные сервисы

Жертвами Gamaredon традиционно становятся государственные учреждения, военные структуры и объекты критической инфраструктуры Украины. Операторы действуют уже более десяти лет, и их методы постоянно совершенствуются. В новой кампании группа применила сразу несколько свежих техник. Например, начальный взлом происходит через фишинговое письмо с вложением в формате xHTML. Этот файл, как рассказали исследователи, загружает вредоносный RAR-архив, который использует уязвимость в WinRAR CVE-2025-8088. Эта брешь позволяет записать скрытый HTA-файл прямо в папку автозагрузки Windows. При следующем входе пользователя в систему HTA-файл запускается и обращается к удалённому серверу для получения следующей стадии полезной нагрузки.

Особого внимания заслуживает червь GammaWorm, который группа применяет уже не первый год, но в этой кампании он получил принципиально новые возможности. Вместо того чтобы сохранять свои модули отдельными файлами, червь использует альтернативные потоки данных NTFS (ADS). Эта функция файловой системы Windows позволяет прятать код внутри другого файла или папки, делая его невидимым для стандартного списка каталогов. Исследователи зафиксировали, что GammaWorm создаёт несколько скрытых потоков: основной код хранится в "%USERPROFILE%:GTR", конфигурация сети - в "%USERPROFILE%:URL", модуль распространения - в "%USERPROFILE%:LNK". Для постоянства на системе червь прописывается в реестр в разделе "RunOnce" и создаёт три запланированных задачи. Одна из них - "DiskDiagnosticDataCollector" - каждые семь минут обновляет сетевые настройки, связываясь с командно-контрольными серверами через так называемые "мёртвые точки" (Dead Drop Resolvers). Операторы публикуют IP-адреса и домены на легитимных платформах, таких как Telegram, Telegraph или Cloudflare Workers. Червь парсит эти страницы, извлекает адреса и сохраняет их в реестре. Таким образом, инфраструктура управления постоянно меняется, и её заблокировать крайне трудно.

Модуль распространения GammaWorm нацелен на флешки и сетевые диски. Червь сканирует подключенные устройства, скрывает все папки на них и создаёт вместо них ярлыки LNK. Когда жертва открывает такой ярлык, Windows одновременно запускает легитимную папку и исполняет код червя. Ярлыки замаскированы под документы с украинскими названиями - многие из них содержат провокационные или шокирующие слова, чтобы привлечь внимание. Такой метод позволяет червю преодолевать физическую изоляцию сетей, так как он проникает на системы, к которым нет прямого сетевого доступа, через заражённые USB-накопители.

После того как злоумышленники получают устойчивый доступ, они разворачивают финальный компонент - кражу данных. Исследователям удалось перехватить свежую версию GammaSteel, которая целиком работает в памяти и реестре. Она пишет 71 модуль в ветки реестра, шифруя их с помощью штатного API защиты данных Windows (DPAPI). GammaSteel сканирует локальные и сетевые диски, отслеживает подключение новых флешек в реальном времени и мониторит изменения в определённых файлах. Украденные документы отправляются в облачное хранилище, совместимое с S3, а если это не удаётся - на сервер оператора, который одновременно служит бэкдором для удалённого выполнения команд.

Примечательно, что в этой кампании группа полностью отказалась от старого фреймворка Pteranodon, который использовала с 2016 года. Теперь все компоненты - от загрузчика до похитителя данных - являются самостоятельными программами. Каждый из них, даже изначально вспомогательный, способен самостоятельно получать и выполнять произвольный код с сервера. Это превращает всю цепочку в многоуровневую систему, где уничтожение одного элемента не останавливает атаку.

Для защиты от подобных угроз эксперты рекомендуют обращать внимание на аномальную активность штатных скриптовых движков Windows. Например, запуск "wscript.exe" с аргументом, содержащим двоеточие без обратного слеша (как в случае с ADS), почти всегда свидетельствует о вредоносной активности. Также стоит мониторить создание указанных запланированных задач и появление значений в разделе реестра "HKCU\Console" с ключами вроде "WindowsUpdates", "URLTeletype" и "IpURL". На сетевом уровне подозрительными будут частые запросы небраузерных процессов к доменам "telegra.ph", "graph.org" или "teletype.in". Поскольку операторы Gamaredon постоянно обновляют свои инструменты и получают новые команды от серверов, самым надёжным способом очистки заражённой системы, как подчёркивают в Sekoia, остаётся полное переустановка операционной системы. Попытки удалить отдельные файлы или записи реестра почти гарантированно приведут к восстановлению червя из скрытых потоков или через повторную загрузку по обновлённому адресу.

На момент публикации отчёта кампания Gamaredon продолжалась. Исследователи пообещали выпустить серию материалов, в которых детально разберут каждый этап атаки. Пока же ясно одно: хакеры наращивают технологическую сложность своих операций, активно используя легитимные облачные сервисы и штатные функции Windows, чтобы оставаться незамеченными как можно дольше.

IPv4

• 104.194.140.6

URLs

• https://bold.zsjtn41091.workers.dev
• https://graph.org/kyjfkyr-12-06
• https://quitethepastry.ru
• https://t.me/s/teotori
• https://telegra.ph/f8bfl6sp-01-02
• https://teletype.in/@myrain/Xh1Lta2Ccro
• https://www.telegram.me/s/oberfarir

MD5

• 1794369214b7f62e70a0485e61335c61
• 8e1624d110c090ff57d4b493a9107c66