Группа APT-C-53, также известная как Gamaredon, ведет активную деятельность с 2013 года и специализируется на кибершпионаже в правительственном и военном секторах. Несмотря на постоянное раскрытие своих методик поставщиками систем безопасности, Gamaredon не только сохраняет активность, но и наращивает интенсивность атак, что требует повышенного внимания специалистов по кибербезопасности.
Методология атак Gamaredon
Основной инструмент группы — вредоносные скрипты VBS, которые обладают сложной степенью обфускации. Для маскировки используется кодировка Base64 и фрагментация кода, что значительно усложняет детектирование вредоносного ПО. Интересной особенностью является использование военной тематики в социальных инженерных приемах — это снижает бдительность жертв и повышает вероятность успешного выполнения вредоносных сценариев.
Подход Gamaredon к заражению постепенный и многоэтапный. Процесс начинается с запуска первоначальных скриптов, которые создают условия для последующего развертывания функционала вредоносного ПО. Для хранения используются стандартные пользовательские файлы, в том числе вредоносные файлы LNK (ярлыки), замаскированные под легитимные документы. Особенно активно такой «софт» применяется в атаках на объекты с повышенным уровнем безопасности, используя те же военные темы для привлечения внимания.
Технические особенности инфраструктуры и обхода защиты
- Отказоустойчивая инфраструктура C2: группа реализовала резервные адреса командного сервера, хранящиеся в разделах реестра Windows, что позволяет сохранить устойчивую связь даже при выводе из строя основных серверов.
- Маскировка вредоносных файлов: с помощью изменений в реестре и скрытия расширений вредоносные LNK-файлы маскируются под привычные форматы, такие как PDF и DOCX, усложняя обнаружение.
- Проверка целевой среды: в процессе эксплуатации вредоносного ПО происходит анализ наличия специальных файлов (например, ~.drv в каталоге %APPDATA%). При отсутствии необходимых файлов производятся копирования из общедоступных директорий для обеспечения устойчивого присутствия (например, файл NTUSER.DAT.TMContainer).
Такие технические решения обеспечивают гибкость и долговременное присутствие вредоносного кода в средах жертв, а также возможность обновления и изменения функционала без необходимости повторного заражения.
Рекомендации по защите от угроз Gamaredon
Для минимизации рисков, связанных с деятельностью Gamaredon, эксперты по кибербезопасности советуют внедрять комплексные меры защиты, включая:
- Усиление безопасности электронной почты: настроить фильтры для блокировки фишинговых сообщений и вредоносных вложений;
- Мониторинг системных журналов: отслеживать аномальное поведение для своевременного выявления инцидентов;
- Повышение безопасности конечных устройств: регулярно обновлять ПО и проводить комплексные проверки на наличие вредоносного кода.
Наличие таких протоколов позволяет значительно снизить вероятность успешной компрометации и минимизировать ущерб от атаки.
Gamaredon продолжает совершенствовать свои тактики, поэтому своевременная адаптация защитных мер становится ключевым элементом успешной обороны.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Анализ APT-Gamaredon: тактики, угрозы и защита с 2013 года".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.