Для атак на украинские организации группировка использует инфостилер под названием GammaLoad.

Согласно отчету, опубликованному Symantec, цепочка атак выглядит так:

  • Атака начинается с рассылки фишинговых сообщений, в которые вшит самораспаковывающийся 7-Zip архив, содержащий в себе файл mshta.exe;

  • Архив загружается в систему жертвы через браузер, используемый системой по умолчанию;

  • Исполняемый файл загружает XML-файл, который маскируется под .hta файл;

  • Следом за XML-файлом в системе жертвы развертывается инфостилер, написанный на PowerShell.

Атака начинается с рассылки фишинговых сообщений, в которые вшит самораспаковывающийся 7-Zip архив, содержащий в себе файл mshta.exe;

Архив загружается в систему жертвы через браузер, используемый системой по умолчанию;

Исполняемый файл загружает XML-файл, который маскируется под .hta файл;

Следом за XML-файлом в системе жертвы развертывается инфостилер, написанный на PowerShell.

Специалистам компании удалось обнаружить три разные версии одного и того же инфостилера . По их мнению, такая стратегия используется для обхода систем безопасности.

Все файлы, использующиеся в атаке, были размещены на субдомене, связанном с Gamaredon . Инфостилер, который злоумышленники развертывают в системе жертвы, получил название GammaLoad.PS1_v2. В некоторых случаях хакеры также развертывали два бэкдора под названиями Giddome и Pteredo, которые входят в арсенал Gamaredon.

Pteredo – это многоступенчатый VBS-бэкдор, используемый злоумышленниками для кражи конфиденциальной информации или поддержания доступа к взломанным устройствам.

Giddome – продвинутый бэкдор, имеющий множество различных функций: запись звука, создание скриншотов, кейлоггинг, а также загрузку и выполнение произвольных исполняемых файлов на зараженных узлах.

А чтобы получить удаленный доступ к устройствам жертв, злоумышленники использовали инструменты Ammyy Admin и AnyDesk.

Symantec уже выложила индикаторы компрометации для этой вредоносной кампании.

Источник: securitylab