Для атак на украинские организации группировка использует инфостилер под названием GammaLoad.
https://www.securitylab.ru/upload/ib...6032118697.jpg
Согласно отчету, опубликованному Symantec, цепочка атак выглядит так:<ul><li>Атака начинается с рассылки фишинговых сообщений, в которые вшит самораспаковывающийся 7-Zip архив, содержащий в себе файл mshta.exe;</li>
</ul><ul><li>Архив загружается в систему жертвы через браузер, используемый системой по умолчанию;</li>
</ul><ul><li>Исполняемый файл загружает XML-файл, который маскируется под .hta файл;</li>
</ul><ul><li>Следом за XML-файлом в системе жертвы развертывается инфостилер, написанный на PowerShell.</li>
</ul>Специалистам компании удалось обнаружить три разные версии одного и того же инфостилера . По их мнению, такая стратегия используется для обхода систем безопасности.
Все файлы, использующиеся в атаке, были размещены на субдомене, связанном с Gamaredon . Инфостилер, который злоумышленники развертывают в системе жертвы, получил название GammaLoad.PS1_v2. В некоторых случаях хакеры также развертывали два бэкдора под названиями Giddome и Pteredo, которые входят в арсенал Gamaredon.
Pteredo – это многоступенчатый VBS-бэкдор, используемый злоумышленниками для кражи конфиденциальной информации или поддержания доступа к взломанным устройствам.
Giddome – продвинутый бэкдор, имеющий множество различных функций: запись звука, создание скриншотов, кейлоггинг, а также загрузку и выполнение произвольных исполняемых файлов на зараженных узлах.
А чтобы получить удаленный доступ к устройствам жертв, злоумышленники использовали инструменты Ammyy Admin и AnyDesk.
Symantec уже выложила индикаторы компрометации для этой вредоносной кампании.