Группа Gamaredon активизировала атаки на Украину с использованием облачных сервисов

Gamaredon, которая действует с 2013 года и, как полагают, связана с российскими государственными структурами, традиционно нацелена на украинские правительственные, военные и другие критически важные объекты с целью шпионажа и сбора разведывательных данных. Несмотря на неоднократные разоблачения со стороны компаний кибербезопасности, активность группы не только не снизилась, но и продолжает нарастать, демонстрируя высокую адаптивность и устойчивость.

Ключевым изменением в тактике Gamaredon стал переход на облачную инфраструктуру. В частности, злоумышленники начали активно использовать сервис Microsoft Dev Tunnels для создания временных поддоменов, которые маскируют вредоносные подключения под легитимный трафик разработчиков. Это позволяет эффективно скрывать реальные командные серверы (C2) и избегать обнаружения системами защиты. Например, в ходе атаки, зафиксированной 26 июня 2025 года, группа несколько раз меняла адреса C2, используя форматы URL, которые имитировали доверенные домены, такие как wise.com и megamarket.ua, для обхода проверок безопасности.

Ещё одной особенностью обновлённой тактики Gamaredon стало применение Cloudflare Workers для распределённой доставки вредоносных нагрузок. Группа использует множество быстро сменяемых поддоменов, что значительно усложняет их отслеживание. Файлы скриптов, написанные на VBScript, доставляются через динамически генерируемые URL-адреса, сохраняются во временных каталогах системы и выполняются с помощью стандартных инструментов, таких как wscript.exe, что позволяет избегать создания подозрительных файлов на диске.

Для извлечения данных Gamaredon применяет инструмент rclone, который предназначен для синхронизации файлов с облачными хранилищами. В данном случае он используется для передачи похищенной информации через аккаунт Dropbox, что маскирует вредоносный трафик под обычную активность пользователя. Вся атака построена так, чтобы минимизировать следы: данные временно сохраняются в реестре Windows, динамически компилируются и удаляются сразу после передачи.

Эксперты уверенно связывают эти атаки с Gamaredon на основе повторяющихся тактических приёмов, включая использование ранее известных методов работы с реестром, инфраструктурой и доменами в зоне .ru. По оценкам специалистов, группа будет и в дальнейшем проводить атаки на украинские организации, стремясь получить доступ к конфиденциальной информации и критической инфраструктуре.

Domains

• bdslmtlqh.bronzevere.workers.dev
• bulam.ru
• dvofiuao.3150wild.workers.dev
• euw.devtunnels.ms
• fulagam.ru
• gohiz.griercrimson.workers.dev
• jqrwbrbj.bronzevere.workers.dev
• khycpsgbu.previoussusanna.workers.dev
• litanq.ru
• oexvrm.embarrassed3627.workers.dev
• tskqbu.bronzevere.workers.dev
• xuwj.goldjan.workers.dev

MD5

• 023429e53d32fa29e4c7060c8f3d37db
• 0459531e3cbc84ede6a1a75846a87495
• 67896b57a4dcf614fb22283c130ab78b
• 9258a427c782cd8d7dcf25dc0d661239
• 98b540aeb2e2350f74ad36ddb4d3f66f
• d2c551812c751332b74b0517e76909f2
• f3deebe705478ec1a4ec5538ac3669cb