Связанные с Россией хакеры, известные как «Gamaredon», были замечены в развертывании восьми пользовательских двоичных файлов в операциях кибершпионажа против украинских организаций.
Считается, что эта хакерская группа управляется непосредственно российской ФСБ и несет ответственность за тысячи атак в Украине с 2013 года.
Исследователи из группы Symantec Threat Hunter, входящей в состав Broadcom Software, проанализировали восемь образцов вредоносного ПО, использованных Gamaredon против украинских жертв в недавних атаках, которые могут предоставить защитникам важную информацию для защиты от продолжающихся волновых атак.
Согласно отчету Symantec, отслеживаемые атаки начались в июле с рассылки адресных фишинговых писем, в которых содержались документы Word с макросами. Эти файлы запустили файл «Pteranodon» - хорошо задокументированный бэкдор, который Gamaredon разрабатывает и совершенствует уже почти семь лет.
Однако, несмотря на то, что недавние атаки по-прежнему проводятся с использованием фишинговых электронных писем, эти атаки теперь сбрасывают восемь различных загрузок.
Все восемь файлов, отобранных аналитиками Symantec в ходе недавних атак Gamaredon, представляют собой самораспаковывающиеся двоичные файлы 7-zip, что сводит к минимуму требования к взаимодействию с пользователем.
В отчете Symantec также делается вывод о том, что многие удаленные файлы имеют неизвестные хэши родительских процессов, которые не были проанализированы, поэтому части операции Gamaredon остаются неясными.
