Группировка GOFFEE атакует российские компании через фишинг

Эксперты по кибербезопасности отмечают, что во второй половине 2024 года группировка активно внедряла свой имплант PowerModul, написанный на PowerShell. Этот инструмент способен загружать и выполнять дополнительные скрипты с командного сервера. Параллельно GOFFEE использует специализированные утилиты для похищения данных с USB-накопителей, такие как FlashFileGrabber, и распространяет свою вредоносную нагрузку (payload) через зараженные съемные носители. Летом 2025 года было зафиксировано несколько атак с использованием Zero-day уязвимостей.

Подробный анализ одного из вредоносных документов группировки показал, что большую часть цепочки заражения можно восстановить без применения сложных инструментов реверс-инжиниринга. Александр, вирусный аналитик с многолетним опытом, демонстрирует методику исследования, доступную даже специалистам с базовыми знаниями в области кибербезопасности.

Анализ начинается с изучения фишингового письма, содержащего документ с расширением .docx. Первым шагом становится проверка хэш-суммы файла SHA-256: 8f7c38804d63d89a83d11c5c112850febf6d5e302f63f367860e78ac72f09e4c. Поиск в VirusTotal подтверждает, что образец уже присутствует в антивирусных базах многих производителей. Инструмент Code Insights указывает на наличие макросов внутри документа.

Для глубокого анализа используются утилиты ExifTool для изучения метаданных и oleid для определения структуры файла. Результаты подтверждают наличие макросов VBA. С помощью olevba исследователям удается извлечь вредоносный код для последующего изучения. Критически важным становится понимание структуры DOCX-файлов, которые фактически представляют собой ZIP-архивы, содержащие XML-файлы и дополнительные ресурсы.

После распаковки архива внимание исследователей привлекает файл document.xml, содержащий странную сигнатуру с Base64-кодированным текстом, разделенным ключевым словом «Checksum». Декодирование строк позволяет обнаружить обфусцированный вредоносный скрипт, создающий файлы UserCacheHelper.lnk.js и UserCache.ini в директории %USERPROFILE%. Для создания скрытых процессов скрипт использует WMI (Windows Management Instrumentation).

Поведенческий анализ в динамической среде подтверждает первоначальные предположения. При запуске вредоносного документа и активации макроса система создает указанные файлы в профиле пользователя. Файл UserCacheHelper.lnk.js маскируется под ярлык, а его содержимое представляет собой обфусцированный JavaScript-код, обеспечивающий скрытый запуск файла UserCache.ini через WMI.

Инструмент Fakenet-NG фиксирует попытки подключения к подозрительному адресу 45.84.1[.]150. Согласно исследованиям экспертов Лаборатории Касперского, ответы с этого сервера содержали скрипты для удаленного управления зараженными системами.

Восстановленная цепочка заражения группировки GOFFEE выглядит последовательно. Сначала злоумышленники рассылают фишинговые письма с документами, имитирующими официальную корреспонденцию. После активации макроса происходит извлечение вредоносной нагрузки из Base64-строк в document.xml. Затем в системе создаются файлы-исполнители, которые регистрируются в автозагрузке реестра для обеспечения постоянного присутствия (persistence). Финальным этапом становится запуск импланта PowerModul через цепочку HTA → JS → WMI с последующим установлением соединения с командным сервером.

Данный случай наглядно демонстрирует, что даже сложные целевые атаки можно анализировать с помощью базовых методик и доступных инструментов. Специалисты по информационной безопасности могут эффективно противостоять угрозам, не прибегая к сложному реверс-инжинирингу. При этом критически важным остается постоянное обучение и обмен информацией о новых тактиках и инструментах киберпреступников.

URLs

• http://45.84.1.150:80

MD5

• 3c779615788a4feef49ad523b806471b

SHA1

• 8d80f17b28831d5eb9ad365d3dd2840af7f850a0

SHA256

• 8f7c38804d63d89a83d11c5c112850febf6d5e302f63f367860e78ac72f09e4c