Gamaredon frissített eszközei
A Sekoia részletes elemzése szerint az orosz FSZB-hez köthető Gamaredon (Shuckworm, UAC-0010) csoport továbbfejlesztette malware-készletét, és új eszközkészletet vet be ukrán állami, katonai és közigazgatási célpontok ellen. A kutatás első része két új komponensre, a GammaPhish fertőzési mechanizmusra és a GammaWorm terjedési modulra összpontosít. A Gamaredon továbbra is az egyik legaktívabb orosz hírszerzési szereplő Ukrajnában, amelynek elsődleges célja a tartós hozzáférés megszerzése és a hírszerzési adatgyűjtés.
A fertőzési lánc jellemzően célzott adathalász e-mailekkel indul. A csatolmányok vagy hivatkozások többlépcsős letöltési folyamatot indítanak, amelynek célja a végső kártevő rejtett telepítése. A Sekoia szerint a csoport továbbra is nagy hangsúlyt fektet a többrétegű kódelfedésre, a script-alapú végrehajtásra és a legitim Windows-eszközök felhasználására a felismerés elkerülése érdekében.
A GammaWorm különösen figyelemre méltó, mert automatikusan képes terjedni megosztott meghajtókon, hálózati mappákon és cserélhető adathordozókon. A cél nem pusztán egyetlen végpont kompromittálása, hanem a fertőzés gyors eljuttatása más rendszerekre is. Ez a módszer jól illeszkedik a Gamaredon korábban megfigyelt taktikáihoz, amelyek során USB-eszközöket és hálózati megosztásokat is felhasználtak a terjedéshez.
A kutatók szerint a csoport filozófiája továbbra sem a kifinomult, nehezen észlelhető támadásokra épül, hanem a nagy mennyiségű, folyamatos és agresszív kompromittálási kísérletekre. A Gamaredon eszközei gyakran egyszerűbbek más orosz APT-csoportok megoldásainál, ugyanakkor rendkívül gyorsan fejlődnek, és folyamatosan módosulnak a detekciók megkerülése érdekében.
A Sekoia értékelése szerint a GammaPhish és GammaWorm megjelenése azt mutatja, hogy a Gamaredon továbbra is jelentős operatív támogatást kap, és képes rövid idő alatt új eszközök fejlesztésére. A kampány elsődleges célpontjai továbbra is az ukrán állami intézmények, a védelmi szektor és a kritikus infrastruktúrák.
