Rибершпионская группа Gamaredon продолжает целенаправленные атаки на украинские государственные учреждения, военные структуры и объекты критической инфраструктуры. Новое исследование компании Sekoia, занимающейся обнаружением угроз и реагированием, раскрывает детали эволюции инструментов группы за последние десять лет. Особое внимание уделено стилеру GammaSteel - финальной полезной нагрузке в цепочке заражения, которая почти не оставляет следов на скомпрометированных машинах.
Описание
Gamaredon известна своими долгосрочными кампаниями. Её арсенал постоянно менялся, что затрудняло отслеживание. Теперь аналитики Sekoia совместно с украинским CERT-UA ввели единую таксономию для всех компонентов: GammaPhish (начальный доступ), GammaLoad (промежуточные загрузчики), GammaWorm (червь), GammaSteel (стилер) и GammaWipe (стиратель данных). Эта классификация позволяет чётко понимать роль каждого модуля.
Новый отчёт посвящён третьему звену цепочки - GammaSteel. В отличие от традиционных вредоносных программ, этот стилер работает практически полностью в памяти, используя штатные функции Windows для сокрытия. Его главная задача - кража личных документов пользователя и их передача на управляемую злоумышленниками инфраструктуру.
Специалисты Sekoia в новом отчёте детально восстановили процесс заражения. Всё начинается с загрузчика GammaLoad, который получает из сети зашифрованный PowerShell-скрипт. После расшифровки код начинает раскладывать 71 функцию стилера прямо в ветке реестра HKCU\Printers. Для шифрования этих функций впервые в деятельности группы применяется интерфейс программирования приложений Windows DPAPI. Благодаря привязке к сеансу текущего пользователя расшифровать реестр на выгруженном жёстком диске без мастер-ключей становится практически невозможно. Это серьёзно усложняет криминалистический анализ.
Далее в дело вступает оркестратор - одна из сохранённых в реестре функций. Она запускает скрытый процесс PowerShell и устанавливает закрепление в системе через автозагрузку, прописывая команду в HKCU\Software\Microsoft\Windows\CurrentVersion\Run. Вместо того чтобы хранить полный скрипт в ключе автозагрузки, злоумышленники используют указатель на ту же ветку реестра, что делает обнаружение ещё более трудным.
Основная часть стилера - сбор данных. Оркестратор запускает три параллельных механизма слежения. Первый - периодическое сканирование локальных и сетевых дисков раз в час. Второй - мониторинг подключения USB-накопителей. При обнаружении новой флешки вредоносная программа копирует файлы с заданным списком расширений (документы, таблицы, презентации, PDF, архивы) в скрытую папку на системном диске, а затем отправляет их на сервер. Третий механизм - мгновенное отслеживание изменений файлов. С помощью системного средства FileSystemWatcher стилер перехватывает момент, когда пользователь сохраняет или редактирует нужный документ, и сразу же начинает его выгрузку.
Перед отправкой каждого файла вычисляется его хэш MD5 и сверяется с локальным журналом. Если файл уже был украден ранее, он игнорируется. Это снижает сетевой шум и объём передаваемых данных.
Основным каналом для выгрузки служит облачное S3-совместимое хранилище Tebi.io. В проанализированном образце конфигурация указывала на s3.tebi[.]io. Запросы отправляются методом HTTP PUT, причём метаданные (идентификатор жертвы, путь к файлу и т. д.) встраиваются прямо в URL. Примечательно, что тип содержимого всегда устанавливается text/plain, вне зависимости от реального формата файла - так злоумышленники пытаются обойти фильтры.
Если облачное хранилище недоступно, стилер переключается на резервные командно-контрольные серверы (C2), жёстко прописанные в конфигурации. В ходе исследования зафиксированы адреса justsstop[.]ru и 165.22.170[.]129. Эти серверы работают в двунаправленном режиме: они не только принимают украденные файлы, но и могут выполнять произвольный VBScript-код, получаемый в HTTP-ответах. Таким образом, операторы сохраняют возможность развернуть дополнительную полезную нагрузку на скомпрометированном устройстве даже в случае потери доступа к облаку.
И третий уровень отказоустойчивости - технология Dead Drop Resolvers (механизм получения адресов управления через публичные платформы). Если оба предыдущих канала не работают, стилер последовательно запрашивает четыре жёстко заданных URL на сервисах Telegra.ph, Write.as, Rentry[.]co и Mastodon. Там размещаются обновлённые учётные данные для доступа к облачному хранилищу и адреса резервных C2. Если и это не удаётся, конфигурация сбрасывается на исходные значения.
Аналитики Sekoia наблюдали за динамикой обновления этих записей в течение месяца, с января по февраль 2026 года. На аккаунте Mastodon посты обновлялись строго четыре раза в день с точностью до нескольких минут. Это свидетельствует о полной автоматизации процесса. За месяц было извлечено 115 уникальных IP-адресов, четыре домена и пять различных наборов учётных данных для S3. Интересно, что 13 февраля 2026 года в активности наступила однодневная пауза - возможно, из-за удара украинских дронов по центру обработки данных в Приморске, который мог нарушить инфраструктуру, используемую группой.
Отдельно стоит отметить, что Gamaredon активно злоупотребляет легитимными облачными сервисами, такими как Supabase, для размещения промежуточных загрузчиков, а также динамическим DNS от No-IP. Собственная серверная инфраструктура оператора постоянно ротируется: за 12 дней было развёрнуто 55 новых серверов, среднее время жизни которых составляет около 24 часов. Такая высокая частота говорит о наличии автоматизированной системы развёртывания и стремлении к операционной живучести.
Таким образом, GammaSteel представляет собой промышленный инструмент для скрытой кражи данных. Он использует штатные возможности Windows, легитимные облачные хранилища и публичные платформы как каналы связи. Обнаружить его крайне сложно: код хранится в зашифрованном виде в реестре, а сетевая активность маскируется под легитимный трафик к популярным сервисам.
Выводы отчёта подтверждают, что группировка Gamaredon значительно повысила технический уровень своих атак. Использование DPAPI для шифрования полезной нагрузки в реестре ранее не наблюдалось в их активности, но полностью совпадает с методами другой группировки - InvisiMole, что может указывать на обмен инструментарием между субъектами угрозы. Украинским организациям следует учитывать, что атакующие способны получать доступ к любым файлам в реальном времени, в том числе к тем, которые редактируются. Основной рекомендацией для защитников является усиление мониторинга подозрительных изменений в реестре, особенно в ветке HKCU\Printers, а также блокировка нестандартных запросов к облачным S3-хранилищам, исходящим от процессов PowerShell.
Индикаторы компрометации
IPv4
- 165.22.170.129
Domains
- justsstop.ru
URLs
- https://api.telegra.ph/getPage/Hello-01-23-161
- https://mastodon.social/api/v1/statuses/115942411657067215
- https://rentry.co/hwzrmfkx
- https://write.as/api/posts/1nei1af6dnw8q
