Российская группа хакеров Gamaredon, также известная как Armageddon или Shuckworm, продолжает свои атаки на критически важные зарубежные организации.
Эта хакерская группа использует обновлённые инструменты и новые тактики, чтобы проникнуть в системы военного и разведывательного секторов своих жертв.
Gamaredon использовал новые варианты вредоносного ПО, угонщик шаблонов Word, для заражения некоторых государственных организаций. Но последние исследования показывают, что они также начали использовать вредоносный USB-софт для распространения внутри заражённых сетей.
Интересным аспектом новой кампании Gamaredon является атака на отделы кадров. Это указывает на то, что хакеры нацелены на фишинговые атаки внутри скомпрометированных организаций.
Они стремятся получить доступ к правительственным, военным, охранным и исследовательским организациям, которые содержат ценные кадровые данные.
Аналитики Symantec сообщают, что пик активности Gamaredon пришелся на февраль-март 2023 года, но они продолжали поддерживать своё присутствие в заражённых машинах до мая 2023 года.
Фишинговые письма остаются основным методом первоначального взлома. Они содержат вложения с расширениями RAR, DOCX, SFX, LNK и HTA. При открытии этих файлов запускается команда PowerShell, которая загружает вредоносную нагрузку с сервера злоумышленников.
Источник: Ferra