Gamaredon kampány
A Cisco Talos biztonsági kutatói 2024 novembere óta egy folyamatos adathalász kampányt figyeltek meg, amelyet a Gamaredon néven ismert, orosz államhoz köthető APT-csoport hajt végre Ukrajna ellen. A támadások során a csoport rosszindulatú LNK fájlokat használ, amelyek PowerShell letöltőket futtatnak, végül a Remcos nevű távoli hozzáférésű trójai programot (RAT) telepítve az áldozatok rendszerére.
A Gamaredon csoport az ukrajnai invázió témáját használja csalinak adathalász kampányaiban. A csoport ZIP állományokba csomagolt LNK fájlokat küld az áldozatoknak, gyakran Office dokumentumoknak álcázva, és olyan neveket viselnek, amelyek az ukrajnai konfliktushoz kapcsolódnak, például katonai személyek neveit vagy csapatmozgásokra utaló kifejezéseket.
A megnyitott LNK fájlok egy PowerShell parancsot indítanak el, amely kapcsolatba lép oroszországi és németországi szerverekkel, hogy letöltse a második szintű ZIP fájlt, amely a Remcos backdoort tartalmazza. A letöltött payload DLL oldalsó betöltési technikát alkalmaz a Remcos végrehajtásához, elkerülve ezzel a hagyományos biztonsági intézkedéseket.
A kampány célpontjai elsősorban ukrán felhasználók, különös tekintettel a katonai és kormányzati szervezetekre. A használt fájlnevek és a témák egyértelműen az ukrajnai háborúval kapcsolatosak, ami arra utal, hogy a támadók a konfliktushoz kapcsolódó információkat kívánnak megszerezni.
