Компания ESET сообщает об обнаружении новой активности группы киберпреступников Gamaredon, которая действует по меньшей мере с 2013 года и отвечает за ряд атак, направленных в большинстве случаев на украинские учреждения.

Во время последней кампании злоумышленники воспользовались несколькими инструментами для распространения вредоносного программного обеспечения. Первый инструмент нацелен на Microsoft Outlook с использованием созданного Microsoft Outlook Visual Basic для приложений (VBA) проекта и позволяет злоумышленникам использовать учетную запись электронной почты жертвы для отправки фишинговых писем контактам из адресной книги. Использование макросов Outlook является достаточно нетипичным способом распространения вредоносного программного обеспечения.

Второй инструмент используется указанной APT-группой для добавления макросов и ссылок на удаленные шаблоны в документах Office — Word и Excel. Оба инструмента предназначены для дальнейшего распространения вредоносного программного обеспечения Gamaredon в зараженных сетях.

«За последние несколько месяцев активность этой группы злоумышленников возросла, и киберпреступники целенаправленно отправляют вредоносные письма в почтовые ящики пользователей. К этим электронным письмам прикрепляют вложения — документы с вредоносными макросами, которые в случае запуска пытаются загрузить различные виды вредоносных программ», — комментирует Жан-Ян Боутин, руководитель исследовательской лаборатории ESET.

Новые инструменты используют вредоносные макросы или ссылки на удаленные шаблоны и добавляют их в существующие документы атакованной системы, что является очень эффективным способом распространения в корпоративной сети компании, поскольку документы, как правило, передаются коллегам. Кроме того, благодаря специальной функции, которая позволяет изменять настройки безопасности макросов Microsoft Office, зараженные пользователи не подозревают, что они подвергают риску свои рабочие станции каждый раз при открытии документов.

Группа киберпреступников использует бэкдоры и программы для похищения файлов с целью идентификации и сбора конфиденциальных документов в зараженной системе и загрузки их на командный сервер (C&C). Кроме того, эти вредоносные программы для похищения файлов имеют возможность выполнять команды с удаленного сервера.

Между Gamaredon и другими APT-группами есть одно существенное отличие — киберпреступники прилагают минимальные усилия, чтобы оставаться незамеченными в сети. Даже несмотря на то, что их инструменты способны использовать методы для маскировки, основная задача этой группы злоумышленников — как можно быстрее распространиться в сети своей жертвы, пытаясь похитить данные.

«Хотя использование скомпрометированного почтового ящика для отправки вредоносных писем без согласия пользователя не является новой техникой, мы считаем, что это первый зафиксированный случай атаки киберпреступников с использованием файла OTM и макроса Outlook, — объясняет Жан-Ян Боутин. — Мы смогли собрать множество различных образцов вредоносных скриптов, исполняемых файлов и документов, используемых группой Gamaredon во время всех вредоносных кампаний».