Связанные с Россией хакеры, известные как «Гамаредон» (также известные как «Армагеддон» или «Шукворм»), были замечены в развертывании восьми пользовательских двоичных файлов в операциях кибершпионажа против украинских организаций.
Считается, что эта хакерская группа управляется непосредственно российской ФСБ (Федеральной службой безопасности) и несет ответственность за тысячи атак в Украине с 2013 года.
Исследователи из команды Symantec Threat Hunter, входящей в состав Broadcom Software, проанализировали восемь образцов вредоносного ПО, использованных Gamaredon против украинских целей в недавних атаках, которые могут предоставить защитникам важную информацию для защиты от продолжающихся волновых атак .
Файлы, использованные в недавних атаках Gamaredon
Согласно отчету Symantec , отслеживаемые атаки начались в июле с рассылки адресных фишинговых писем, содержащих документы Word с макросами.Эти файлы запустили файл VBS, из которого был удален «Pteranodon», хорошо задокументированный бэкдор, который Gamaredon разрабатывает и совершенствует уже почти семь лет.
Однако, несмотря на то, что недавние атаки по-прежнему проводятся с использованием фишинговых сообщений электронной почты, эти атаки теперь сбрасывают восемь различных полезных нагрузок, как описано ниже.
Все восемь файлов, отобранных аналитиками Symantec в ходе недавних атак Gamaredon, представляют собой самораспаковывающиеся двоичные файлы 7-zip, что сводит к минимуму требования к взаимодействию с пользователем.
- спускание.exe — выполняется для размещения файла VBS в «%USERPROFILE%\Downloads\deerbrook.ppt» и «%PUBLIC%\Pictures\deerbrook.ppt» и создает запланированное задание в скомпрометированной системе. VBS связывается с C2 и получает полезную нагрузку.
- deep-sunken.exe — загруженная полезная нагрузка, которая выполняется для сброса на скомпрометированный компьютер еще четырех файлов: baby.cmd, baby.dat, basement.exe (двоичный файл wget), vb_baby.vbs. Создается новая запланированная задача, и снова связываются с C2 для следующей полезной нагрузки.
- z4z05jn4.egf.exe — полезная нагрузка следующего этапа, которая похожа на предыдущую, но имеет другой C2, отбрасывает файлы в разные папки и использует другие имена файлов.
- defiant.exe — выполняется для перетаскивания файлов VBS в «%TEMP%\\deep-versed.nls» и «%PUBLIC\Pictures\deep-versed.nls», а затем создает запланированное задание для их выполнения.
- deep-green.exe — инструмент удаленного администрирования UltraVNC, который подключается к ретранслятору.
- deep-green.exe — двоичный файл Process Explorer для Microsoft Windows.
- deep-green.exe — то же, что и defiant.exe, но с другим жестко закодированным C2 и именами файлов.
- deep-green.exe — сбрасывает VBS в «%PUBLIC%\Music\» и создает запланированное задание, которое ищет съемные диски в зараженной системе.
- http + IP + /.php?=, ИЛИ
- http + IP + /.php?=,-
- csidl_profile\ссылки
- csidl_profile\ищет
- CSIDL_PROFILE\appdata\local\temp\
- CSIDL_ПРОФИЛЬ\
Хэши файлов для новых вредоносных программ, обнаруженных Symantec, можно найти в их отчете.
Перевод - GoogleBleeping Computer
Последнее редактирование модератором:
