У 2025 році осійська хакерська група Gamaredon (відома як «Shuckworm») атакувала військову місію однієї із західних країн, що базується в Східній Європі, а також на військові об'єкти, що перебувають в Україні.
У 2025 році осійська хакерська група Gamaredon (відома як «Shuckworm») атакувала військову місію однієї із західних країн, що базується в Східній Європі, а також на військові об'єкти, що перебувають в Україні.
Дослідники загроз Symantec повідомляють, що кампанія почалася в лютому 2025 року й тривала до березня, коли хакери розгорнули оновлену версію шкідливого програмного забезпечення GammaSteel для викрадення даних.
Зловмисники використовували оновлену версію свого інструменту GammaSteel, який викрадає дані з мереж жертв.
Під час розслідування дослідники помітили в реєстрі Windows скомпрометованої системи нове значення під ключем UserAssist, що вказує на те, що зараження почалося із зовнішнього диска з файлу ярлика files.lnk.
Далі сильно завуальований скрипт створює й запускає два файли. Перший обробляє командно-контрольну (C2) комунікацію, вирішує адресу сервера за допомогою легальних сервісів і підключається до URL-адрес, захищених Cloudflare.
Другий файл керує механізмом поширення для зараження інших знімних і мережевих дисків за допомогою LNK-файлів, а також приховує певні теки й системні файли, щоб приховати компрометацію.
Далі Gamaredon використовував розвідувальний скрипт PowerShell, який може робити знімки екрана зараженого пристрою й збирати інформацію про встановлені антивірусні інструменти, файли та запущені процеси.
Кінцевим корисним навантаженням, що використовується в описаних атаках, є версія GammaSteel на основі PowerShell, яка зберігається в реєстрі Windows.
Шкідливе програмне забезпечення може викрадати документи (.DOC, .PDF, .XLS, .TXT) з різних місць, таких як «Робочий стіл», «Документи» та «Завантаження», що підтверджує постійний інтерес Gamaredon до шпигунства.
Зрештою, шкідливе програмне забезпечення використовує «certutil.exe» для хешування файлів і викрадає їх за допомогою вебзапитів PowerShell. Якщо проникнення не вдається, Gamaredon використовує cURL через Tor для передачі викрадених даних.
Нарешті, новий ключ додається до «HKCU\Software\Microsoft\Windows\CurrentVersion\Run», щоб встановити постійність на цільовому комп’ютері.
Symantec зазначає, що різноманітні вдосконалення TTP групи загроз (тактики, техніки та процедур) підвищують ризики, які зловмисники Gamaredon становлять для західних мереж.
