Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Новые варианты вредоносного ПО Gamaredon нацелены на критическую инфраструктуру Украины (http://txgate.io:443/showthread.php?t=10655)

Artifact 05-11-2025 05:34 PM

Группировка Gamaredon имеет большой опыт атак на IT-системы Украины и постоянно обновляет свои инструменты.
https://www.securitylab.ru/upload/ib...k63p3cnry3.jpg
Государственный центр киберзащиты Украины (ГЦКЗ) обнаружила, что группировка Gamaredon проводит целенаправленные кибератаки на органы государственной власти и критически важную IT-инфраструктуру в стране.
APT-группа, также известная как Actinium, Armageddon, Iron Tilden, Primitive Bear, Shuckworm, Trident Ursa и UAC-0010, неоднократно наносила удары по украинским объектам еще в 2022 году.
Согласно сообщению ГЦКЗ, деятельность группы UAC-0010 характеризуется многоступенчатыми полезными нагрузками шпионского ПО, используемого для поддержания контроля над зараженными хостами. По информации CERT-UA, на данный момент группа использует в своих кампаниях шпионские программы GammaLoad и GammaSteel:<ul><li>GammaLoad — это вредоносная программа-дроппер VBScript, разработанная для доставки полезной нагрузки следующего этапа VBScript с удаленного сервера;</li>
</ul><ul><li>GammaSteel — это сценарий PowerShell, способный проводить разведку и выполнять дополнительные команды.</li>
</ul>Агентство отмечает, что атаки Gamaredon больше направлены ​​на шпионаж и кражу информации, чем на саботаж. Центр также подчеркнул «настойчивую» эволюцию тактики хакеров, которые обновляют свой набор вредоносных программ, чтобы оставаться вне поля зрения, назвав Gamaredon «ключевой киберугрозой».
Цепочки атак начинаются с целевых фишинговых писем, содержащих RAR-архив, который при открытии активирует длинную последовательность, состоящую из 5 промежуточных этапов, которые в конечном итоге завершаются доставкой полезной нагрузки PowerShell.<ol style="list-style-type: decimal"><li>LNK-файл (1 шт.);
</li>
<li>HTA-файл (1 шт.);
</li>
<li>VBScript-файл (3 шт.).</li>
</ol>Кроме того, одной из тактик киберпреступников является заражение файла шаблона «C:\Users\%USERNAME%\AppData\Roaming\Microsoft\Te m plates\Normal.dotm» с помощью макроса, который генерирует URL-адрес и добавляет его в создаваемый документ в виде ссылки (атака Remote template injection). Это приведет к заражению всех новых документов, создаваемых на компьютере, и их дальнейшему распространению вредоносного ПО.
Информация, относящаяся к IP-адресам серверов управления и контроля (C2), размещается в Telegram-каналах , которые периодически меняются. Все проанализированные VBScript-дропперы и PowerShell-скрипты являются вариантами вредоносного ПО GammaLoad и GammaSteel соответственно, что позволяет злоумышленнику извлекать конфиденциальную информацию.


All times are GMT. The time now is 10:09 PM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.