Microsoft рассказала о техниках APT-группы, атакующей Украину

Екатерина Быстрова 07 Февраля 2022 - 09:03

Таргетированные атаки

...

Microsoft рассказала о техниках APT-группы, атакующей Украину

Microsoft поделилась новой информацией о тактиках и техниках киберпреступной группировки Gamaredon, которую на Западе связывают с Кремлём. Известно, что за последние полгода группа проводила операции кибершпионажа, целью которых были украинские организации.

Как отметила корпорация из Редмонда, кибератаки Gamaredon были направлены на государственные учреждения, судебную систему, правоохранительные органы и некоммерческие организации. Задача злоумышленников — выкрасть конфиденциальную информацию и использовать её в дальнейшем для латерального передвижения внутри сети атакованной организации.

Команда Threat Intelligence Center (MSTIC) отслеживает активность группы под кодовым именем ACTINIUM (ранее — DEV-0157). Напомним, что в ноябре 2021-го Украина приписала Gamaredon связь с ФСБ России. В частности, СБУ назвала имена пяти членов группировки, принимавших участие в атаках.

«С октября 2021 года группа ACTINIUM атаковала украинские организации, прямо связанные с реагированием на чрезвычайные ситуации и обеспечением безопасности на территории Украины», — пишут исследователи из Microsoft.

Кстати, именно Gamaredon в этом году провела операции фейкового шифровальщика против Украины (на самом деле, это были атаки вайпера WhisperGate). Чуть позже специалисты нашли сходства между NotPetya и WhisperGate.

Изначальный вектор атаки Gamaredon — целевой фишинг, в котором отправленные письма сопровождаются вложением с макросами. Как только получатель откроет такой документ, в его системе запустится вредоносный код.

Операторы также применяют интересную уловку: встраивают в тело писем трекер вроде пикселя отслеживания, который помогает им понять, открыл ли получатель письмо. После того как жертва попала на крючок, группировка запускает многоэтапный процесс развертывания нескольких бинарников:

PowerPunch – основанный на PowerShell дроппер и загрузчик, удалённо получающий исполняемые файлы для второй стадии компрометации;
Pterodo – постоянно совершенствующийся бэкдор, затрудняющий анализ кибероперации;
QuietSieve – сильно обфусцированный бинарник .NET, предназначенный для извлечения данных и разведки.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Яков Шпунт 30 Апреля 2025 - 14:19

Атаки на сайты DDoS-атаки Домашние пользователи Корпорации

Крупный интернет-провайдер Сибсети подвергся мощной DDoS-атаке

Утром 30 апреля интернет-провайдер «Сибсети» подвергся DDoS-атаке. Под удар попали филиалы компании в Новосибирске, Новокузнецке, Кемерове и Красноярске.

Как сообщили в «Сибсетях» одному из местных СМИ, атака началась около 10:00 по местному времени. При этом сервис Downdetector зарегистрировал первые жалобы ещё в 6:00. Наибольшее количество обращений пришлось как раз на 10:00.

«В данный момент новосибирский филиал подвергается активной DDoS-атаке, направленной на нашу инфраструктуру. Злоумышленники активизировались перед майскими праздниками, перегружая наши серверы множеством запросов. Это может вызывать временные сбои в работе личного кабинета и мобильного приложения "Мои Сибсети"», — заявили в отделе маркетинга компании на официальной странице во «ВКонтакте».

Как уточняет ТАСС, спустя час атака начала распространяться на другие регионы. Сначала — на Новокузнецк и Кемерово, затем на Красноярск.

Согласно данным Downdetector, основная масса жалоб поступает из Новосибирской области и Красноярского края. Более 80% пользователей сообщают о полном отсутствии домашнего интернета.

Напомним, что в ноябре 2024 года новосибирский филиал «Сибсети» уже подвергался масштабной DDoS-атаке, последствия которой устранялись в течение нескольких дней.

Microsoft рассказала о техниках APT-группы, атакующей Украину

Читайте также