Компанія ESET повідомляє про виявлення активних фішингових атак групи кіберзлочинців Gamaredon, націлених на українські установи. За даними ESET, група залишається дуже активною, адаптуючи свої тактики та інструменти для постійних кібератак користувачів в Україні.
Зокрема у 2024 році зловмисники значно збільшили масштаби та частоту фішингових атак за допомогою нових методів, а один зі шкідливих компонентів під час атак був використаний виключно для поширення російської пропаганди.
Метою Gamaredon є кібершпигунство, що відповідає геополітичним інтересам росії. Групу відносять до російського 18 центру інформаційної безпеки федеральної служби безпеки (ФСБ), а її основною ціллю щонайменше з 2013 року є українські урядові установи.
Які методи атак використовували кіберзлочинці?
Фішингова діяльність Gamaredon значно посилилась у другій половині 2024 року. Атаки зазвичай тривали від 1 до 5 днів поспіль, електронні листи містили шкідливі архіви (RAR, ZIP, 7z) або файли XHTML, що несанкціоновано використовували HTML. Ці документи поширювали шкідливі файли HTA або LNK, які запускали вбудовані завантажувачі VBScript, такі як PteroSand.
У жовтні 2024 року дослідники ESET виявили рідкісний випадок, коли фішингові електронні листи містили шкідливі гіперпосилання замість вкладень, що не є звичайною тактикою для Gamaredon. Крім того, кіберзлочинці використовували шкідливі LNK-файли для виконання команд PowerShell безпосередньо з доменів, згенерованих Cloudflare, в обхід деяких традиційних механізмів виявлення.
«Особливо цікавим стало виявлення унікального спеціального компонента VBScript в липні 2024 року, який поширювався через завантажувачі Gamaredon. Цей компонент не містив шпигунського функціоналу, його єдиною ціллю було автоматично відкрити пропагандистський Telegram-канал, який поширює проросійські повідомлення, спрямовані на Одеську область», — коментує Золтан Руснак, дослідник ESET.
Крім того, протягом 2024 року Gamaredon використовувала методи обходу захисту на основі мережі. Група продовжувала, хоча й у менших масштабах, застосовувати техніки динамічної заміни адрес DNS, часто автоматично заміняючи IP-адреси на свої домени. Кіберзлочинці все більше використовували сторонні сервіси, такі як Telegram, Telegraph, Codeberg, Dropbox та Cloudflare, для заплутування коду (обфускації) та динамічного розподілу своєї інфраструктури контролю та управління інфікованими пристроями.
«Незважаючи на обмеження потужностей та відмову від старих інструментів, Gamaredon залишається небезпечною групою кіберзлочинців через своє постійне вдосконалення, агресивні фішингові кампанії та можливості запобігання виявленню. Поки триває війна росії проти України, очікується, що Gamaredon продовжуватиме розвивати свою тактику та посилюватиме свої кібершпигунські операції на українські установи», – зазначає дослідник ESET.
У зв’язку з небезпекою кібератак спеціалісти ESET рекомендують дотримуватися основних правил кібербезпеки, зокрема не відкривати невідомі листи та документи, використовувати складні паролі та багатофакторну автентифікацію, вчасно оновлювати програмне забезпечення, а також забезпечити надійний захист домашніх пристроїв та багаторівневу безпеку корпоративної мережі.
