Для атак на украинские организации группировка использует инфостилер под названием GammaLoad.
Согласно отчету, опубликованному Symantec, цепочка атак выглядит так:
-
Атака начинается с рассылки фишинговых сообщений, в которые вшит самораспаковывающийся 7-Zip архив, содержащий в себе файл mshta.exe;
-
Архив загружается в систему жертвы через браузер, используемый системой по умолчанию;
-
Исполняемый файл загружает XML-файл, который маскируется под .hta файл;
-
Следом за XML-файлом в системе жертвы развертывается инфостилер, написанный на PowerShell.
Атака начинается с рассылки фишинговых сообщений, в которые вшит самораспаковывающийся 7-Zip архив, содержащий в себе файл mshta.exe;
Архив загружается в систему жертвы через браузер, используемый системой по умолчанию;
Исполняемый файл загружает XML-файл, который маскируется под .hta файл;
Следом за XML-файлом в системе жертвы развертывается инфостилер, написанный на PowerShell.
Специалистам компании удалось обнаружить три разные версии одного и того же инфостилера . По их мнению, такая стратегия используется для обхода систем безопасности.
Все файлы, использующиеся в атаке, были размещены на субдомене, связанном с Gamaredon . Инфостилер, который злоумышленники развертывают в системе жертвы, получил название GammaLoad.PS1_v2. В некоторых случаях хакеры также развертывали два бэкдора под названиями Giddome и Pteredo, которые входят в арсенал Gamaredon.
Pteredo – это многоступенчатый VBS-бэкдор, используемый злоумышленниками для кражи конфиденциальной информации или поддержания доступа к взломанным устройствам.
Giddome – продвинутый бэкдор, имеющий множество различных функций: запись звука, создание скриншотов, кейлоггинг, а также загрузку и выполнение произвольных исполняемых файлов на зараженных узлах.
А чтобы получить удаленный доступ к устройствам жертв, злоумышленники использовали инструменты Ammyy Admin и AnyDesk.
Symantec уже выложила индикаторы компрометации для этой вредоносной кампании.
Источник: securitylab