Хакерская группа Gamaredon продолжает вести кибершпионские операции против украинских государственных структур, военных и объектов критической инфраструктуры. Новый отчет компании Sekoia, опубликованный аналитиками их подразделения Threat Detection & Research (TDR), детально раскрывает механизмы заражения, которые злоумышленники применяли в начале 2026 года. Исследование показывает, что за более чем десять лет арсенал группы претерпел значительную эволюцию: от фреймворка Pteranodon до модульных и практически не оставляющих следов вредоносных программ.
Описание
Одна из главных проблем при отслеживании кампаний Gamaredon - запутанная терминология в индустрии. Разные вендоры называют одни и те же компоненты по-разному, что затрудняет анализ. Чтобы внести ясность, Sekoia объединила классификацию CERT-UA и предложила единую таксономию. Все вредоносные модули теперь сгруппированы по функциям: GammaPhish (первоначальный доступ), GammaLoad (промежуточные загрузчики), GammaWorm (червь для распространения), GammaSteel (похититель данных) и GammaWipe (уничтожитель информации). Именно GammaLoad, многоступенчатая система загрузчиков, стала центральной темой нового отчета.
Цепочка заражения, по данным Sekoia, спроектирована с расчетом на незаметность. Вместо того чтобы писать файлы на диск, злоумышленники прячут код внутри легальных компонентов Windows и злоупотребляют доверенными облачными сервисами, такими как Telegram, Cloudflare и Telegra.ph. Благодаря этому на зараженном компьютере почти не остается следов. Ранее исследователи уже описывали начальные этапы атаки - компрометацию и распространение через USB-накопители (вредонос GammaWorm). Теперь же эксперты сосредоточились на том, как именно Gamaredon доставляет финальную полезную нагрузку - программу-похититель GammaSteel.
Процесс загрузки состоит из трех последовательных стадий, каждая из которых представляет собой отдельный скрипт, выполняющийся из памяти. Первая стадия - загрузчик на VBScript. Он запускается либо после успешного фишинга (GammaPhish), либо после распространения червя (GammaWorm). Сначала скрипт собирает отпечаток жертвы: имя компьютера и шестнадцатеричный серийный номер системного диска. Это позволяет группе однозначно идентифицировать каждую машину. Затем начинается поиск активного командного сервера (C2). Загрузчик последовательно проверяет четыре ключа в реестре Windows (ветка HKCU\Console), где могут быть сохранены адреса прошлых сессий. Если реестр пуст или проверка не удалась, в ход идут так называемые DDR - "мертвые почтовые ящики", размещенные на легитимных платформах. В отчёте Sekoia приводятся конкретные примеры: скрипт обращается к каналам в Telegra.ph, Telegram и сервису check-host.net, извлекает оттуда URL командного сервера и сразу же записывает его в реестр для будущих запусков.
Получив действующий адрес C2, загрузчик генерирует HTTP-запрос с уникальным, случайным образом составленным URL. Ответ сервера может быть двух типов. Если код ответа 200, а размер тела превышает 1 000 байт, загрузчик выполняет полученный код немедленно в памяти с помощью команды ExecuteGlobal. Если же сервер отвечает 404 Not Found, скрипт воспринимает это как сигнал к обновлению конфигурации: он ищет в теле ответа строку с https и заменяет ею адреса в реестре. Интересно, что злоумышленники используют поле User-Agent для передачи уникального идентификатора машины, а в GET-запросах указывают значение Content-Length, что является аномалией для данного типа трафика.
Вторая стадия - дроппер. Аналитики Sekoia смогли перехватить его 23 января 2026 года. Этот скрипт также написан на VBScript, но закодирован в Base64 с дополнительной обфускацией. После выполнения он записывает в реестр два новых адреса C2 и повторяет механизм последовательных запросов, однако теперь ответ сервера не выполняется непосредственно в памяти. Вместо этого дроппер очищает полученный VBScript от обфускации и сохраняет его в альтернативный поток данных (ADS) файла в папке %TEMP% с именем :divedz0f. Затем он создает запланированную задачу Windows с именем \Windows\ApplicationData\DsSvcCleanup, которая запускает этот ADS каждые 11 минут. После создания задачи дроппер завершается.
Третья стадия - загрузчик на PowerShell. Именно его каждые 11 минут выполняет планировщик. Скрипт обфусцирован с помощью ROT13, но после дешифровки он содержит скрытую команду запуска PowerShell с аргументами -nol и -nop (отключает загрузку профиля и баннер). PowerShell-код отключает проверку SSL-сертификатов и пытается последовательно подключиться к трем жестко заданным C2-адресам. Полученный ответ декодируется из Base64, затем расшифровывается с помощью XOR с фиксированным ключом и сразу выполняется в памяти командой Invoke-Expression. Аналитикам удалось получить финальный полезный код, обратившись к одному из C2 - insight-sweet-drainage-appreciated.trycloudflare[.]com/log. Этот код оказался еще одним обфусцированным PowerShell-скриптом, который и является похитителем данных GammaSteel.
Исследователи отмечают, что описанная архитектура напоминает матрешку: загрузчики загружают другие загрузчики, и все они выполняются исключительно в памяти. Ни один из компонентов GammaLoad не выживает после перезагрузки системы. Однако Gamaredon, скорее всего, решает проблему сохранения доступа отдельно - либо через ранее установленный червь, либо через другие механизмы. Вся цепочка, от первого скрипта до последнего, скрывается в потоках легитимного трафика к Cloudflare и Telegram, что делает её крайне трудной для обнаружения традиционными средствами защиты.
Следующий отчет Sekoia, как сообщается, будет посвящен детальному разбору самого похитителя GammaSteel. Пока же специалистам по информационной безопасности рекомендуется обращать внимание на аномальные GET-запросы с непустым Content-Length, а также на нестандартные записи в реестре Windows в ветке HKCU\Console. Понимание всей цепочки заражения позволяет эффективнее настраивать системы обнаружения и предотвращать проникновение этой группы, которая напрямую угрожает суверенитету демократических государств.
Индикаторы компрометации
IPv4
- 172.86.76.132
URLs
- https://insight-sweet-drainage-appreciated.trycloudflare.com/log
- https://telegram.me/s/oberfarir
MD5
- a2c6e01001c62f6198e31a9d603977c6
- bf94f4056627907d86ce1cae8b44c67a
- d2a6009587b3cb73355c2d1e53d5cdfa