Компанія ESET — лідер у галузі інформаційної безпеки — повідомляє про виявлення нової активності групи кіберзлочинців Gamaredon, яка діє принаймні з 2013 року та відповідальна за ряд атак, направлених у більшості випадків на українські установи.
Під час останньої кампанії зловмисники скористалися інноваційними інструментами для поширення шкідливого програмного забезпечення. Перший інструмент націлений на Microsoft Outlook з використанням створеного Microsoft Outlook Visual Basic для додатків (VBA) проекту та дозволяє зловмисникам використовувати обліковий запис електронної пошти жертви для відправки фішингових листів контактам з адресної книги. Використання макросів Outlook є досить нетиповим способом поширення шкідливого програмного забезпечення.
Другий інструмент використовується зазначеною APT-групою для додавання макросів та посилань на віддалені шаблони в документах Office — Word і Excel. Обидва інструменти створені для подальшого поширення шкідливого програмного забезпечення Gamaredon в інфікованих мережах.
«За останні кілька місяців активність цієї групи зловмисників зросла, і кіберзлочинці цілеспрямовано відправляють шкідливі листи в поштові скриньки користувачів. До цих електронних листів прикріплюють вкладення — документи зі шкідливими макросами, які у разі запуску намагаються завантажити різні види шкідливих програм», — говорить Жан-Ян Боутін, керівник дослідницької лабораторії ESET.
Нові інструменти використовують шкідливі макроси або посилання на віддалені шаблони та додають їх в існуючі документи атакованої системи, що є дуже ефективним способом розповсюдження в корпоративній мережі компанії, оскільки документи зазвичай передаються колегам. Крім того, завдяки спеціальній функції, яка дозволяє змінювати налаштування безпеки макросів Microsoft Office, інфіковані користувачі не підозрюють, що вони піддають ризику свої робочі станції кожного разу під час відкриття документів.
Група кіберзлочинців використовує бекдори та програми для викрадення файлів з метою ідентифікації та збору конфіденційних документів в інфікованій системі та завантаження їх на командний сервер (C&C). Крім того, ці шкідливі програми для викрадення файлів мають можливість виконувати команди з віддаленого сервера.
Між Gamaredon та іншими APT-групами є одна істотна відмінність — кіберзлочинці докладають мінімальні зусилля, щоб залишатися непоміченими в мережі. Навіть незважаючи на те, що їх інструменти здатні використовувати методи для маскування, основне завдання цієї групи зловмисників — якомога швидше поширитися у мережі своєї жертви, намагаючись викрасти дані.
«Хоча використання скомпрометованої поштової скриньки для відправки шкідливих листів без згоди користувача не є новою технікою, ми вважаємо, що це перший зафіксований випадок атаки кіберзлочинців з використанням файлу OTM та макроса Outlook, — пояснює Жан-Ян Боутін. — Ми змогли зібрати безліч різних зразків шкідливих скриптів, виконуваних файлів і документів, які використовуються групою Gamaredon під час усіх шкідливих кампаній».
Варто зазначити, що продукти ESET виявляють ці загрози як MSIL/Pterodo, Win32/Pterodo або Win64/Pterodo.
Типовий ланцюг інфікування Gamaredon
Для отримання більш детальної інформації про нові інструменти Gamaredon та ідентифікатори компрометації перейдіть за посиланням.