АКТИВНІСТЬ УГРУПОВАННЯ GAMAREDON ПІД ЧАС УКРАЇНСЬКОГО КОНТРНАСТУПУ РЕЗЮМЕ Цей звіт містить стратегічний погляд на зростаючу загрозу яку становить угруповання Gamaredon для українських військових організацій під час українського контрнаступу У звіті детально розглядається характер угруповання його зв’язки з москвою новітні тактики та методи включно з використанням шкідливого програмного забезпечення та мережевої інфраструктури а також потенційні загрози для українських військових організацій під час контрнаступу 2 ОГЛЯД ЛАНДШАФТУ ЗАГРОЗ В останні роки угруповання Gamaredon значно активізувало свою діяльність Засноване приблизно у 2013 році Gamaredon спочатку було націлене на організації в різних секторах України включаючи уряд оборону та критичну інфраструктуру Однак з того часу діяльність групи зросла в масштабах і витонченості відображаючи цілеспрямовану еволюцію їхніх тактик технік і процедур TTP Основні цілі угруповання Gamaredon — шпигунство та крадіжка даних Їхній арсенал включає низку спеціально розробленого шкідливого програмного забезпечення яке часто поширюється за допомогою хитрих фішингових кампаній Ці кампанії розгортають троянізовані документи для компрометації систем жертв Опинившись у мережі оператори Gamaredon використовують передові технології для прихованого маневрування крадіжки цінних даних і збереження сталої присутності в системі Атрибутування кібератак залишається складним завданням але переконливі докази вказують на зв'язок Gamaredon з москвою У 2021 році Служба безпеки України СБУ ретельно розслідувала діяльність Gamaredon і пов'язала це угруповання з управлінням федеральної служби безпеки фсб росії в анексованому Криму Цей зв'язок підкреслює діяльність угруповання Gamaredon у цілях рф і вказує на його участь у ширших геополітичних маневрах 3 Нещодавні події показали що Gamaredon активізував свої зусилля напередодні українського контрнаступу Обираючи як ціль українські військові організації та державні установи в цей важливий період угруповання прагне зібрати розвідувальні дані та викрасти секретну військову інформацію щоб зірвати українські контрнаступальні операції РОТАЦІЯ ДОМЕНІВ ТА СКЛАДНІСТЬ ІНФРАСТРУКТУРИ Тактика угруповання Gamaredon демонструє постійну ротацію доменів та складність інфраструктури Цей підхід передбачає реєстрацію значної кількості доменів і піддоменів які потім закріплюються за певними IP-адресами Це створює динамічну інфраструктуру яка може швидко ротуватися що ускладнює виявлення та атрибуцію для захисників Нещодавній аналіз діяльності Gamaredon підкреслює певні Autonomous System Numbers ASN які вирізняються в їхній стратегії Угруповання в переважній більшості віддає перевагу наступним Autonomous System Labels GIR-AS GLOBAL INTERNET SOLUTIONS LLC та DIGITALOCEAN-ASN DigitalOcean LLC Використання GLOBAL INTERNET SOLUTIONS LLC яке розташоване в місті Севастополь також може свідчити про зв'язок групи з управлінням федеральної служби безпеки фсб в Криму Autonomous System Labels WORLDSTREAM NL PSKZ-ALA KZ Ci 9% BLNWX US 45% AS-CHOOPA US 1 491 CHERRYSERVERS2-AS LT 0 9% DH31TALOCEAN-ASN US 35 1% GIR-AS RU ARTNET2 PL 3% VDS INA-NL RU 41% ITDEVELOP-AS ME 2_3•1 4 Рис 1 Аналіз Autonomous System Labels які використовувало угруповання Gamaredon у своїх останніх кампаніях Напередодні такої важливої події як контрнаступ України Gamaredon продемонстрував помітний сплеск у підготовці своєї інфраструктури У квітні та травні угруповання займалося реєстрацією значної кількості доменів і піддоменів Ця інфраструктура потім використовувалася для атак на українські військові та силові структури на фоні контрнаступу Domains Creation Dates Рис 2 Хронологія створення доменів 5 ПІД ПРИКРИТТЯМ ЛЕГАЛЬНИХ СЕРВІСІВ Угруповання вміло використовує легальні сервіси для приховування своєї мережевої активності що ускладнює її виявлення та атрибуцію Нещодавні випадки пов'язані з Cloudflare Telegram і Telegraph підкреслюють інноваційний підхід Gamaredon до приховування своєї діяльності На початку цього року Gamaredon продемонстрував свою зухвалість використовуючи здавалося б безпечні платформи для зловмисних цілей Публічний DNS-резолвер Cloudflare cloudflare-dns com та популярний месенджер Telegram стали каналами для вилучення IP-адрес необхідних для наступних етапів їхніх операцій Ці сервіси слугували прикриттям маскуючи справжні наміри зловмисників Використовуючи Cloudflare DNS і Telegram угрупованню Gamaredon вдалося уникнути розкриття IP-адрес безпосередньо в тілі свого шкідливого програмного забезпечення Замість цього шкідливе програмне забезпечення витягувало або генерувало доменні імена з цих платформ що дозволило угрупованню динамічно отримувати IP-адреси та зменшити ризик виявлення Такий динамічний підхід унеможливлював традиційні заходи безпеки на основі IP-адрес та методи виявлення на основі сигнатур 6 0 HKUK set xmlhttpObj MSXML2 Srrv •tX '1UliTP · t tp c 1 ouo t la r -dr s o- d ns -query ''' ' -R spQn BMy5 tl 1 i Ll u 1on 'd re CllllhttpOl lj set requ·estheader · accept' app ilcJ iOfl j1E - sor xm lht tpObj open · gel·· l llhttpObj send res · xmlhttpObj responsebody set -objregexp · 'vb cnpt reqexr J obJregexp global objregexp pattern arriveZfg set objrBetches obj n gexp res set obJrMtch obj matches fJ set objsubm atches otljmatch submatches • o i ll to obj su bmatches co mt 1 bungalo- '06d objsubmatclles i riext 11ttacf sKxd - l ungalo11 '06d end U 'h t J l n Рис 3 Деобфускований код шкідливого програмного забезпечення GammaLoad що встановлює з'єднання з cloudflare-dns com Угруповання Gamaredon продовжує надавати перевагу приховуванню мережевої активності З цією ж метою угруповання перейшло до використання сервісів Telegram і Telegraph Використання цих платформ дозволяє їм зберігати завісу легітимності уникаючи механізмів виявлення які часто покладаються на виявлення зловмисних IP-адрес $sea rch_obj ect https t mC' s peghyxbkueawkp ·ht tps te leg ra phi 7b l 93kg8t--07-18 $sea rr h_abj ect foreach - object $ip get - ip $_ 11 $ip Length gt 7 Sip out - file Sname_file break elc e start - sleep 50 Рис 4 Деобфускований код шкідливого програмного забезпечення GammaLoad що встановлює з'єднання з t me та telegra ph 7 C i te1egra p j7bl93kg8t-07-18 csdlxh4j2e July 18 2023 18 161 2 1 205 Рис 5 Відповідь від telegra ph з IP-адресою наступного етапу кампанії Gamaredon Використовуючи сервіси Cloudflare DNS Telegram і Telegraph угруповання підкреслює свою прихильність до збереження прихованості та адаптивності Ця тенденція зображує необхідність для фахівців з безпеки зберігати пильність і застосовувати передові методи виявлення загроз які враховують вищезгадані методики Gamaredon 8 ВИКОРИСТАННЯ СКОМПРОМЕТОВАНИХ ДОКУМЕНТІВ ТА АРСЕНАЛ ШКІДЛИВОГО ПРОГРАМНОГО ЗАБЕЗПЕЧЕННЯ На тлі контрнаступу України тактика фішингових атак угруповання Gamaredon поширилася на військові та безпекові організації Фішингові кампанії вирізняються тим що в них використовуються легітимні документи викрадені у скомпрометованих організаціях Ці документи часто замасковані під звіти або офіційні повідомлення що підвищує ймовірність успішної атаки Одержувачі вважаючи ці вкладення справжніми охочіше взаємодіють зі шкідливим контентом Для підсилення своїх фішингових атак Gamaredon розробила значний арсенал шкідливого програмного забезпечення Інструментарій угруповання містить • GammaDrop • GammaLoad • GammaSteel • LakeFlash Серед шкідливого програмного забезпечення цього угруповання виділяється Pterodo Часто маскуючись під файлом «7ZSfxMod_x86 exe» Pterodo є багатоцільовим інструментом який призначений для шпигунства та викрадення даних Його універсальність у розгортанні різних модулів робить його потужною загрозою здатною з впевненістю проникати та компрометувати цільові системи 9 ВИСНОВОК Різке збільшення кількості атак угруповання Gamaredon напередодні контрнаступу України підкреслює посилення загрози з боку зловмисників Хоча Gamaredon можливо не є найбільш технічно просунутою групою яка націлена на Україну їхні методи демонструють постійне вдосконалення А зростаюча частота атак свідчить про розширення їхніх можливостей та ресурсів Угруповання Gamaredon застосовує багатогранний підхід для компрометації своїх цілей про що свідчать останні фішингові кампанії та різні варіанти шкідливого програмного забезпечення GammaDrop GammaLoad GammaSteel LakeFlash та Pterodo Використання легітимних документів скомпрометованих організацій як приманок у поєднанні з широким арсеналом шкідливого програмного забезпечення демонструє їхню впевненість та можливість виконувати різнопланові атаки Через використання російських сервісів Telegram і Telegraph такими суб'єктами кіберзагроз як Gamaredon формуються плани щодо обмеження використання цих сервісів Тривале зловживання цими платформами у зловмисних цілях зокрема для приховування мережевої активності викрадення даних та взаємодії з командно-контрольними серверами викликає занепокоєння щодо їхніх наслідків для безпеки Для захисту конфіденційної інформації та інтересів національної безпеки розглядається можливість обмеження використання цих платформ 10 Хоча інші APT угруповання можуть володіти складнішими технічними можливостями вибір цілей Gamaredon і підвищений рівень активності свідчать про їх стратегічне посилення Синхронізація їхньої діяльності з критичними військовими подіями посилює їхній потенційний вплив Організації повинні усвідомлювати характер загрози цього угруповання і відповідно посилити свої заходи кібербезпеки і міжнародне співробітництво в обміні інформацією про кіберзагрози 5 ДІАМАНТОВА МОДЕЛЬ АНАЛІЗУ ВТОРГНЕНЬ Tore 1Alllw 111utware REG AU G11mmaDrop 016ITALOCEAN·ASN G1tmmaload Glfil•AS I GammaSleel LakeFlash Te Pteiocio 'd ph Cloucllare DNS I Vlilrierablllt s ' CVE-2017-'ll199 U ami nduslrtes r itlma Security Gol emm eJ'fl Cll cal in1ras1n101ura 12 ІНДИКАТОРИ КОМПРОМЕТАЦІЇ Тип URL URL URL URL URL URL URL URL URL URL URL URL URL URL URL URL URL URL URL URL URL URL URL URL URL URL URL URL URL URL URL URL URL URL URL URL URL URL URL URL URL URL URL URL 13 Значення https t me s mtkozbawtcw https t me s hhrcislkr https t me s renummxhexzlqnp https t me s csszmy https t me s peghyxbkueawkp https t me s dxgosnpiji https t me s wuiagupaxsy https t me s tppalhetp https t me s aazfofoqurl https t me s mftqypmfd https t me s upvrnnkzhu https t me s chanellsac https t me s kmhrgnabgvucwl https t me s jbkkcohpep https t me s vzjjveyspk https t me s exmhjrjeczody https t me s rqmynic https t me s vdxgwlh https t me s pjzfbtboqnvu https t me s idaknpmehzj https t me s xgjhnluflfkgqum https t me s tolnk_1 https t me s scwzrglirhjnyab https t me s uaqqfputly https t me s uwhvzcnsirlzx https t me s loggwwryzxqin https t me s hbcdqoxcxvk https t me s ocqcgvbgja https t me s wxpbntrkwjwqoon https t me s dnyyphpwi https t me s rwmlqlxfttee https t me s dtqlqmnswacn https t me s cctgfzuhcliux https t me s sxvywalm https telegra ph jv908druxs-04-24 https telegra ph t1795sbzrl-07-04 https telegra ph j7bl93kg8t-07-18 https telegra ph cgd7z1ts8u-04-07 https telegra ph azxcsaqwr-03-28 https telegra ph 29pynfm4rh-02-20 https cloudflare-dns com dns-query name demonstration wadibo ru https cloudflare-dns com dns-query name delightful humorumbi ru https cloudflare-dns com dns-query name demonstrate rashidiso ru https cloudflare-dns com dns-query name savetofile26 bakaripi ru