Кибершпионы Gamaredon атакуют Украину и страны НАТО

ESET подготовила обзор деятельности APT-группы Gamaredon (также известной как UAC-0010 и Armageddon), связанной с Россией группировки, которая действует как минимум с 2013 года и в настоящее время наиболее активна в Украине. Большинство атак киберпреступников были направлены на украинские государственные учреждения, однако в 2022-2023 годах ESET зафиксировала попытки атаковать цели в нескольких странах НАТО, а именно в Болгарии, Латвии, Литве и Польше.

В частности, новая угроза PteroBleed была сосредоточена на краже ценных данных, связанных с украинской военной системой, а также из веб-почты, используемой государственным агентством Украины. Кроме того, киберпреступная группа разработала новые инструменты, направленные на кражу данных из мессенджеров Signal и Telegram, почтовых сервисов и веб-приложений в браузере.

Стоит отметить, что группировка Gamaredon приписывается российскому 18-му Центру информационной безопасности ФСБ, который действует в оккупированном Крыму. Исследователи ESET полагают, что эти киберпреступники также сотрудничают с другой группировкой — InvisiMole.

Какие методы атак чаще всего используют киберпреступники?

Группа Gamaredon использует постоянно развивающиеся методы и приемы обфускации кода для обхода блокировки на основе домена. Таким образом, злоумышленники затрудняют отслеживание, поскольку затрудняют автоматическое обнаружение и блокировку своих инструментов. Тем не менее, в ходе расследования исследователи ESET смогли выявить эту тактику и отследить деятельность Gamaredon.

Киберпреступники задействовали свои вредоносные инструменты для атак на цели в Украине задолго до полномасштабного российского вторжения в 2022 году. Gamaredon распространяет фишинговые письма, чтобы заразить новых жертв.