Gamaredon
Согласно отчету IBM X-Force, в апреле 2024 года наблюдается новая волна активности Hive0051 (также известного как UAC-0010, Gamaredon). Эта активность включает новые версии вредоносного ПО Gamma, которое было впервые обнаружено в ноябре 2023 года. Исследование проникновений, связанных с этой активностью
Gamaredon, также известный как Primitive Bear, ACTINIUM и Shuckworm, является уникальным игроком в экосистеме российского шпионажа, который направлен на широкий круг почти исключительно украинских организаций. В то время как исследователям часто приходится сталкиваться с трудностями в обнаружении доказательств
Shuckworm (он же Gamaredon, Armageddon) - связанная с Россией группировка, которая с момента своего появления в 2014 году почти полностью сосредоточила свои операции на Украине.
Гамаредон также известен как Primitive Bear (CrowdStrike), Winterflouder (iDefence), BlueAlpha (Recorded Future), BlueOtso (PWC), IronTiden (SecureWorks), SectorC08 (Red Alert), Callisto (Ассоциация НАТО Канады), Shuckworm и Armageddon (CERT-UA).
Отслеживая некоторые распространенные угрозы вредоносного ПО, Talos заметила популяризацию вредоносных LNK-файлов в качестве первоначального метода доступа для загрузки и выполнения полезной нагрузки. Более подробное изучение LNK-файлов показывает, как их метаданные можно использовать для идентификации
Cisco Talos обнаружила APT-активность Gamaredon, направленную на пользователей в Украине с помощью вредоносных LNK-файлов, распространяемых в архивах RAR.
Недавняя активность Shuckworm, наблюдаемая компанией Symantec, подразделением Broadcom Software, и направленная на Украину, похоже, доставляет в целевые сети вредоносное ПО, похищающее информацию. Эта активность продолжалась еще 8 августа 2022 года, и большая часть активности, наблюдаемой в рамках этой
Группа Gamaredon, также известная как Primitive Bear, Shuckworm и ACTINIUM. Cognitive Intelligence Team удалось собрать сетевые IoC, связанные с инфраструктурой Gamaredon. В ходе первоначального анализа большинство индикаторов не были напрямую связаны с конкретным вредоносным ПО, а скорее были указаны