- 9,437
- 18
- 8 Ноя 2022
Когда время - деньги.
Группа быстрого реагирования на компьютерные инциденты Украины (Computer Emergency Response Team of Ukraine, CERT-UA ) Для просмотра ссылки Войдиили Зарегистрируйся о действиях хакерской группы Gamaredon, способной похитить данные из систем в течение часа после проникновения.
Группа Gamaredon (также известная как Armageddon, UAC-0010, Shuckworm, Actinium, Iron Tilden, Primitive Bear, Trident Ursa) неоднократно Для просмотра ссылки Войдиили Зарегистрируйся на органы государственной власти и критически важную IT-инфраструктуру в Украине.
Атаки Gamaredon обычно начинаются с сообщения в Telegram , WhatsApp и Signal. Хакеры обманом убеждают жертву открыть вредоносные вложения, маскирующиеся под документы Microsoft Word или Excel. Запуск вложений приводит к загрузке и выполнению на устройстве жертвы вредоносных PowerShell-скриптов и вредоносного ПО «GammaSteel».
Хакеры также модифицируют шаблоны Microsoft Word на зараженных компьютерах, чтобы все создаваемые на них документы содержали вредоносный макрос, способный распространить вредоносное ПО Gamaredon на другие системы. Дополнительно, PowerShell-скрипт захватывает данные сеансов из cookie-файлов браузера, что позволяет хакерам контролировать аккаунты жертвы, защищенные двухфакторной аутентификацией ( 2FA ).
В отношении функциональности «GammaSteel», CERT-UA указывает, что вредоносное ПО нацеливается на файлы с определенными расширениями (.doc, .docx, .xls, .xlsx, .rtf, .odt, .txt, .jpg, .jpeg, .pdf, .ps1, .rar, .zip, .7z, .mdb). Интересующие документы злоумышленник экспортирует в течение 30-50 минут.
Еще одна особенность атак Gamaredon заключается в том, что скомпрометированный компьютер может быть заражён в течение недели. И за эту неделю хакеры могут разместить до 120 вредоносных файлов на взломанной системе, увеличивая вероятность повторного заражения. Другими словами, если после процесса очистки системы остается хотя бы один инфицированный файл или документ, он будет снова заражать остальные файлы.
Кроме того, Gamaredon автоматически заражает все подключённые USB-устройства, распространяясь на изолированные сети. Также киберпреступники регулярно, от 3 до 6 раз в день, меняют IP-адреса промежуточных C2 -серверов, что затрудняет блокировку активности или отслеживание действий хакеров.
CERT-UA сообщает, что самым эффективным способом ограничить влияние атак Gamaredon является блокировка или ограничение несанкционированного выполнения программ «mshta.exe», «wscript.exe», «cscript.exe» и «powershell.exe».
Агентство Для просмотра ссылки Войдиили Зарегистрируйся , что атаки Gamaredon больше направлены на шпионаж и кражу информации, чем на саботаж. Центр также подчеркнул «настойчивую» эволюцию тактики хакеров, которые обновляют свой набор вредоносных программ, чтобы оставаться вне поля зрения, назвав Gamaredon «ключевой киберугрозой».
Ранее исследователи Palo Alto Networks сообщили, что в августе 2022 года группировка Gamaredon Для просмотра ссылки Войдиили Зарегистрируйся на крупную нефтеперерабатывающую компанию в одной из стран-членов НАТО.
Группа быстрого реагирования на компьютерные инциденты Украины (Computer Emergency Response Team of Ukraine, CERT-UA ) Для просмотра ссылки Войди
Группа Gamaredon (также известная как Armageddon, UAC-0010, Shuckworm, Actinium, Iron Tilden, Primitive Bear, Trident Ursa) неоднократно Для просмотра ссылки Войди
Атаки Gamaredon обычно начинаются с сообщения в Telegram , WhatsApp и Signal. Хакеры обманом убеждают жертву открыть вредоносные вложения, маскирующиеся под документы Microsoft Word или Excel. Запуск вложений приводит к загрузке и выполнению на устройстве жертвы вредоносных PowerShell-скриптов и вредоносного ПО «GammaSteel».
Хакеры также модифицируют шаблоны Microsoft Word на зараженных компьютерах, чтобы все создаваемые на них документы содержали вредоносный макрос, способный распространить вредоносное ПО Gamaredon на другие системы. Дополнительно, PowerShell-скрипт захватывает данные сеансов из cookie-файлов браузера, что позволяет хакерам контролировать аккаунты жертвы, защищенные двухфакторной аутентификацией ( 2FA ).
В отношении функциональности «GammaSteel», CERT-UA указывает, что вредоносное ПО нацеливается на файлы с определенными расширениями (.doc, .docx, .xls, .xlsx, .rtf, .odt, .txt, .jpg, .jpeg, .pdf, .ps1, .rar, .zip, .7z, .mdb). Интересующие документы злоумышленник экспортирует в течение 30-50 минут.
Еще одна особенность атак Gamaredon заключается в том, что скомпрометированный компьютер может быть заражён в течение недели. И за эту неделю хакеры могут разместить до 120 вредоносных файлов на взломанной системе, увеличивая вероятность повторного заражения. Другими словами, если после процесса очистки системы остается хотя бы один инфицированный файл или документ, он будет снова заражать остальные файлы.
Кроме того, Gamaredon автоматически заражает все подключённые USB-устройства, распространяясь на изолированные сети. Также киберпреступники регулярно, от 3 до 6 раз в день, меняют IP-адреса промежуточных C2 -серверов, что затрудняет блокировку активности или отслеживание действий хакеров.
CERT-UA сообщает, что самым эффективным способом ограничить влияние атак Gamaredon является блокировка или ограничение несанкционированного выполнения программ «mshta.exe», «wscript.exe», «cscript.exe» и «powershell.exe».
Агентство Для просмотра ссылки Войди
Ранее исследователи Palo Alto Networks сообщили, что в августе 2022 года группировка Gamaredon Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru
