изображение: recraft
Эксперты «Лаборатории Касперского» сообщили о продолжающейся активности группы GOFFEE, которая с начала 2022 года нацелена исключительно на российские учреждения и компании. Как отмечают специалисты, злоумышленники предпочитают использовать фишинг — тщательно подготовленные письма с вредоносными файлами, предназначенными для компрометации систем.
По информации, представленной в исследовании, с мая 2022 года и до середины 2023 года участники этой группировки применяли изменённую версию вредоносного модуля Owowa, встроенного в IIS-серверы. Начиная с 2024 года, акцент сместился на распространяемые через фишинг модифицированные исполняемые файлы explorer.exe, внешне неотличимые от стандартных системных компонентов Windows.
Во второй половине 2024 года эксперты зафиксировали новую волну атак. По их словам, GOFFEE начала использовать PowerTaskel — закрытый агент для платформы Mythic, разработанный на PowerShell. В дополнение к нему появился и собственный имплант под названием PowerModul. Целями хакеров стали редакции СМИ, телекоммуникационные фирмы, строительные компании, а также структуры, работающие в энергетике и госсекторе.
Как подчёркивают специалисты, злоумышленники не ограничиваются одной схемой заражения. Стартовым элементом остаётся фишинговое письмо, содержащие заражённый файл, но последующее развитие событий может идти по разным сценариям. В опубликованном отчёте представлены два основных варианта, актуальных на момент исследования.
В первом случае вредонос распространяется в виде RAR-архива, содержащего исполняемый файл, замаскированный под офисный документ. Такие файлы зачастую имеют двойное расширение, например .doc.exe или .pdf.exe, что вводит пользователя в заблуждение. При попытке запуска файла система открывает настоящий документ-приманку, а в это же время активируются вредоносные функции, загружаемые с удалённого сервера.
Файл при этом представляет собой изменённый системный компонент Windows — чаще всего это explorer.exe или xpsrchvw.exe. Внутри встроен шелл-код, похожий на уже зафиксированные ранее, но содержащий новый зашифрованный агент для Mythic, который тут же устанавливает связь с сервером управления.
Во втором сценарии RAR-архив содержит документ Microsoft Office, в котором встроен макрос. Этот макрос исполняет функции дроппера — он загружает и активирует вредоносный код после открытия документа.
Полная версия отчета представлена по ссылке.
Оригинал публикации на сайте CISOCLUB: "Хакерская группировка GOFFEE активизировалась в атаках на российские организации".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.