В четвертом квартале 2025 года специалисты по киберразведке зафиксировали серию целенаправленных фишинговых атак на организации государственного сектора и военно-промышленного комплекса. Активность приписывается группировке, известной в сообществе информационной безопасности под названием PseudoGamaredon. Эта же группа отслеживается аналитиками под именами Awaken Likho, Core Werewolf и GamaCopy. Ее активность началась еще в 2021 году, и за это время она успела атаковать широкий спектр отраслей, включая здравоохранение, логистику, финансы и технологии. Основной географией ее интересов традиционно остаются Россия и Беларусь.
Описание
В ходе недавней кампании злоумышленники рассылали электронные письма, которые искусно мимикрировали под официальную корреспонденцию. В частности, темы писем и вложений касались мобилизационно-учетной документации, что повышало доверие целевых сотрудников. В качестве вложений использовались архивы, внутри которых скрывался вредоносный исполняемый файл.
После запуска пользователем этот файл инициирует многоступенчатую цепочку заражения. Первоначально в системе разворачиваются компоненты первого этапа, включая скрипт "dilemma.cmd", распаковщик "concrete.exe" и архив "conserve.rar". Запущенный скрипт "dilemma.cmd" распаковывает архив во внешний каталог пользователя, подготавливая почву для второго, более важного этапа.
На второй стадии активируются скрипты "nasty.cmd", "grip.cmd" и исполняемый файл "Teloversync.exe", который является модифицированной версией легитимного инструмента удаленного администрирования UltraVNC. Роль "nasty.cmd" критически важна для обеспечения устойчивости. Этот скрипт не только настраивает конфигурационный файл UltraVNC для скрытной работы, но и обеспечивает постоянство (persistence) в системе. Для этого он регистрирует задание в Планировщике заданий Windows, которое периодически и скрытно перезапускает вредоносную цепочку. Такой подход гарантирует, что полезная нагрузка (payload) будет восстановлена даже после перезагрузки компьютера или случайного завершения процесса.
Финальную сетевую активность обеспечивает скрипт "grip.cmd". Он принудительно завершает предыдущие экземпляры UltraVNC, проверяет доступность сети и, используя уникальный идентификатор, сгенерированный на основе серийного номера системного диска, запускает "Teloversync.exe". Этот процесс автоматически устанавливает соединение с командным сервером злоумышленников по TCP-порту 443, имитируя легитный HTTPS-трафик.
В результате успешной атаки на инфицированной рабочей станции устанавливается полноценный интерактивный удаленный доступ. Злоумышленники получают возможность видеть экран жертвы, управлять вводом с клавиатуры и мыши, а также бесшумно перемещаться по корпоративной сети. Использование легитного, но модифицированного инструментария, такого как UltraVNC, а также ранее замеченных у группы утилит ReverseSSH и rclone, затрудняет обнаружение аномалий традиционными системами безопасности.
Эта кампания демонстрирует классические приемы групп, ориентированных на кибершпионаж (APT). Атака начинается с социальной инженерии, использует многоэтапную доставку вредоносного кода и делает ставку на обеспечение долговременного и скрытного присутствия в целевой системе. Комбинация фишинга под актуальные темы, сложной цепочки исполнения и механизмов постоянства делает PseudoGamaredon серьезной угрозой, особенно для организаций государственного и оборонного сектора. Эксперты рекомендуют усилить проверку входящей корреспонденции, особенно архивных вложений, и применять строгие правила ограничения запуска неподписанных приложений.
Индикаторы компрометации
IPv4
- 178.255.127.86
- 195.2.70.182
- 45.128.148.46
- 45.132.255.152
- 45.144.67.251
- 91.217.81.90
Domains
- bunchahanoithuduc.com
- dveri-kuban.ru
- ilyaforexperts.ru
- kinomirok.ru
- vdaliot.ru
MD5
- 5842ddf4441c01f5e56051d5c4558b49
- 6606e5e028dbe2def716fa3c8364ed8f
- 6c28713c6020a8759b902b4d90d78ac6
- d63d6c9f6c10edb9a228756c9d9b7231
- e527cac6c22f38efa39935e48ffbab59
