В условиях продолжающегося противостояния между Россией и Украиной киберпространство стало ещё одним полем битвы. Недавно обнаруженная хакерская группа GamaCopy активно имитирует тактику известного пророссийского объединения Gamaredon. Чтобы атаковать российские госструктуры и объекты критической инфраструктуры. Вот что об этом известно.
Ключевые детали атак
- Военные документы как приманка.
GamaCopy рассылает фишинговые письма с вложениями. Маскируя их под официальные отчеты о расположении российских военных объектов в Украине. Эти документы упакованы в 7z-SFX архивы — самораспаковывающиеся файлы, которые при открытии запускают вредоносные скрипты. - UltraVNC под маской системных процессов
Для удаленного доступа к устройствам жертв группа использует открытый инструмент UltraVNC, но переименовывает его в «OneDrivers.exe», чтобы он выглядел как легитимный процесс Microsoft OneDrive. Это помогает избежать подозрений со стороны антивирусов и самих пользователей . - Сложная обфускация кода
Скрипты внутри архивов запутываются с помощью команд вродеEnableDelayedExpansion, что значительно усложняет статический анализ. После деобфускации код копирует файлы конфигурации UltraVNC и подключается к серверам через порт 443 (в отличие от Gamaredon, который предпочитает порт 5612) . - Связь с Core Werewolf
Исследователи связывают GamaCopy с другой группой — Core Werewolf (также известной как Awaken Likho). Обе структуры специализируются на атаках на российские цели, используют схожие инструменты и методы, такие как фишинг с двойными расширениями файлов (например, «doc.exe») .
Почему GamaCopy путает следы?
Группа мастерски имитирует TTP (тактики, техники и процедуры) Gamaredon, создавая «ложный флаг». Например:
- Язык приманки: Gamaredon ориентирован на украиноязычные документы, тогда как GamaCopy использует русскоязычные материалы, что соответствует их фокусу на российских целях .
- Открытое ПО как прикрытие: Использование UltraVNC и других легальных инструментов помогает скрыть происхождение атак и сбить с толку аналитиков .
Эксперты Knownsec 404 отмечают: «GamaCopy умело использует „туман войны“, чтобы оставаться в тени, одновременно достигая своих целей» .
Эволюция угроз: от UltraVNC к MeshCentral
Интересно, что связанная с GamaCopy группа Core Werewolf недавно перешла с UltraVNC на MeshCentral — платформу для удаленного управления, что позволяет дольше оставаться незамеченными. Однако в текущей кампании GamaCopy по-прежнему полагается на проверенный метод с 7z-архивами и UltraVNC .
Как защититься? Советы экспертов
- Повышайте осведомлённость: Обучайте сотрудников распознавать фишинговые письма, особенно с темами о военных объектах или госзаказах.
- Проверяйте вложения: Файлы с двойными расширениями (например, «pdf.exe») — красный флаг.
- Обновляйте ПО: Уязвимости в старых версиях 7-Zip или Word могут быть использованы для атак.
- Мониторьте сетевую активность: Необычные подключения через порт 443 к неизвестным доменам (например,
nefteparkstroy.ru) требуют проверки .
Заключение
GamaCopy — пример того, как геополитические конфликты стимулируют кибершпионаж. Группа не только копирует методы Gamaredon, но и усложняет атрибуцию, используя открытые инструменты и русскоязычные приманки. Как подчёркивают в Knownsec 404, это «успешная операция под ложным флагом», которая ставит под удар безопасность целых отраслей .
Для бизнеса и государственных организаций это сигнал: стандартных мер защиты уже недостаточно. Требуется комплексный подход, включающий анализ поведения сети и подготовку к сложным цепочкам атак.
P.S. Если вы работаете в оборонном секторе или связаны с критической инфраструктурой — дважды проверяйте вложения. Иногда за безобидным PDF может скрываться угроза.
Источник — thehackernews
