В последние годы группировка GOFFEE (также известная как Paper Werewolf) неоднократно привлекала внимание экспертов по кибербезопасности. В конце мая 2025 года специалисты МТС RED Security SOC зафиксировали новую волну активности этой группировки, но с измененной тактикой. Ведущий аналитик центра Никита Полосухин подробно разобрал механизмы атак и объяснил, как можно обнаружить их в инфраструктуре.
Описание
Изменения в тактике GOFFEE
В этот раз злоумышленники использовали фишинговые письма с документами Microsoft Word, эксплуатирующими уязвимость CVE-2017-0199. В отличие от прошлых атак, вредоносный макрос загружался не напрямую, а через удаленный шаблон. Кроме того, основная полезная нагрузка теперь запускается в памяти через .NET-метод [System.Reflection.Assembly]::Load, что усложняет ее обнаружение.
Разбор атаки по этапам
Атака начинается с фишингового письма, содержащего документы, например, FSTEK_100_233_ot_22_05.docx или TO2.docx. При их открытии срабатывает уязвимость, и с сервера злоумышленников загружается шаблон с внедренным макросом.
Макрос извлекает из документа закодированную в base64 полезную нагрузку, разделенную на две части. После декодирования она сохраняется в файлы IconStorageConfig.cfg и IconStorageConfig.cfg.hta в профиле пользователя. Затем макрос добавляет HTA-файл в автозагрузку через реестр (HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\LOAD).
HTA-файл обфусцирован с помощью Obfuscator.io. После деобфускации выясняется, что он создает JSE-файл, который через PowerShell запускает основную вредоносную нагрузку.
Полезная нагрузка выполняет несколько действий: отключает проверку SSL-сертификатов, проверя наличие мьютекса (вероятно, уникального для каждой жертвы), собирает данные о системе и отправляет их на C2-сервер. Ответ сервера декодируется и выполняется в памяти, что делает атаку скрытной.
Рекомендации по защите
Для противодействия атакам GOFFEE эксперты рекомендуют использовать актуальные антивирусные решения, обучать сотрудников правилам работы с электронной почтой и внедрять системы автоматического оповещения о подозрительных письмах. Также важно подключить сервисы мониторинга и реагирования на инциденты (SOC), чтобы оперативно блокировать подобные угрозы.
Группировка GOFFEE продолжает совершенствовать свои методы, поэтому компаниям необходимо оставаться бдительными и регулярно обновлять защитные механизмы.
Индикаторы компрометации
Domains
- barrelize.org
- tributetropic.org
SHA256
- 1dcbf2774f505b45368ff0541da4117dce0e4763b85d9ccba20e7298b2425ec9
- 2318600c7bd150e8bf06b0301635598cc799ce2a9a60308027eb63a033f97ceb
- 580839bf75b910a2251f21f1cea006c6f1e84fcde03b696a7e8b163278042b80
- 677e4f461dca20c6e24efbefd47b115722b2eafbd2dc00718c08a393e687bd80
- 9641870ec560c0463d86f482cbd1cb6ea34c3db23d40ad80833cd59739cd33b6
- ed41a4b1f989839a5ad97aaff30dbdf28aeb4fde6d3068a96cb83da27d298d5d
- faf35266966ce5432b312d4120cafd95f1c6187db0f1f4b6d6c579c339d66f55
URI
- \thickfog\[0-9a-fA-F]{8}\b-[0-9a-fA-F]{4}\b-[0-9a-fA-F]{4}\b-[0-9a-fA-F]{4}\b-[0-9a-fA-F]{12}
