Odkrycie ESET: Gamaredon uderza w Ukrainę nowymi kampaniami spearphishingowymi i udoskonalonym zestawem narzędzi

W 2024 roku grupa Gamaredon skupiła się wyłącznie na atakowaniu ukraińskich instytucji rządowych. Grupa znacząco zwiększyła skalę i częstotliwość kampanii spearphishingowych, stosując nowe metody dostarczania złośliwego oprogramowania.

Gamaredon wprowadził sześć nowych narzędzi malware, opartych na PowerShell i VBScript, zaprojektowanych głównie z myślą o ukryciu działań, utrzymaniu obecności w systemach oraz poruszaniu się w sieci ofiary. Operatorom Gamaredon udało się ukryć niemal całą infrastrukturę C&C za tunelami Cloudflare. Grupa coraz częściej wykorzystywała zewnętrzne usługi, takie jak Telegram, Telegraph, Cloudflare czy Dropbox, aby zabezpieczyć swoją infrastrukturę C&C.

ESET opublikował nowy raport na temat działalności grupy Gamaredon, obejmujący jej zaktualizowany zestaw narzędzi cyberszpiegowskich, nowe techniki ukierunkowane na większą dyskrecję oraz agresywne kampanie spearphishingowe prowadzone w ostatnim roku.

Gamaredon, według Służby Bezpieczeństwa Ukrainy (SBU) powiązany z 18. Centrum Bezpieczeństwa Informacyjnego Federalnej Służby Bezpieczeństwa Federacji Rosyjskiej (FSB), od co najmniej 2013 roku atakuje ukraińskie instytucje rządowe. W 2024 roku Gamaredon koncentrował się wyłącznie na atakach wymierzonych w ukraińskie instytucje.

Najnowsze ustalenia ESET potwierdzają, że grupa Gamaredon wciąż pozostaje wyjątkowo aktywna, konsekwentnie obierając Ukrainę za główny cel i nieustannie doskonaląc swoje techniki oraz narzędzia. Jej działania koncentrują się na cyberszpiegostwie wspierającym rosyjskie interesy geopolityczne. W ubiegłym roku Gamaredon znacząco zwiększył skalę i częstotliwość kampanii spearphishingowych, wdrażając nowe metody dystrybucji. W jednym z ataków złośliwe oprogramowanie posłużyło wyłącznie do szerzenia rosyjskiej propagandy.

Aktywność spearphishingowa grupy Gamaredon wyraźnie wzrosła w drugiej połowie 2024 roku. Kampanie zwykle trwały od jednego do pięciu dni i opierały się na wiadomościach e-mail zawierających złośliwe archiwa (RAR, ZIP, 7z) lub pliki XHTML wykorzystujące technikę HTML smuggling. Pliki te uruchamiały złośliwe skrypty HTA lub skróty LNK, które pobierały kolejne szkodliwe komponenty, takie jak downloader VBScript o nazwie PteroSand.

W październiku 2024 roku ESET zaobserwował rzadki przypadek, w którym wiadomości spearphishingowe zawierały złośliwe hiperłącza zamiast załączników - to odstępstwo od standardowych metod grupy.

Dodatkowo Gamaredon wdrożył nową technikę polegającą na wykorzystaniu złośliwych plików LNK do wykonywania poleceń PowerShell bezpośrednio z domen generowanych przez Cloudflare, co pozwalało omijać część klasycznych mechanizmów wykrywania.

Zestaw narzędzi wykorzystywanych przez grupę Gamaredon przeszedł szereg istotnych aktualizacji. Choć wprowadzono stosunkowo niewiele nowych komponentów, znaczną część zasobów przeznaczono na udoskonalenie i modernizację już istniejących rozwiązań. Nowe narzędzia zostały zaprojektowane przede wszystkim z myślą o dyskrecji, utrzymaniu trwałej obecności w systemach oraz swobodnym poruszaniu się w infrastrukturze ofiar. Natomiast dotychczasowe narzędzia zyskały istotne usprawnienia - lepsze mechanizmy zaciemniania kodu, skuteczniejsze techniki ukrywania działań oraz bardziej zaawansowane metody lateral movement i eksfiltracji danych.

Szczególnie interesującym odkryciem było zidentyfikowanie w lipcu 2024 roku unikalnego, stworzonego ad hoc payloadu VBScript, dostarczanego przez downloadery wykorzystywane przez Gamaredon. Payload ten nie miał żadnej funkcji szpiegowskiej — jego jedynym zadaniem było automatyczne otwarcie kanału propagandowego na Telegramie o nazwie Guardians of Odessa, rozpowszechniającego prorosyjskie treści skierowane do mieszkańców regionu Odessy

Zoltán Rusnák

badacz ESET monitorujący aktywność grupy Gamaredon

Dodatkowo przez cały 2024 rok grupa Gamaredon wykazywała dużą determinację w omijaniu mechanizmów obrony opartych na analizie ruchu sieciowego. Kontynuowano, choć na mniejszą skalę, wykorzystywanie techniki fast-flux DNS, często rotując adresy IP powiązane z wykorzystywanymi domenami. Gamaredon coraz częściej polegał również na usługach podmiotów trzecich, takich jak Telegram, Telegraph, Codeberg, Dropbox czy tunele Cloudflare, aby maskować i dynamicznie rozpraszać swoją infrastrukturę C&C.

Pomimo widocznych ograniczeń swoich możliwości oraz porzucenia części starszych narzędzi, Gamaredon wciąż stanowi poważne zagrożenie dzięki ciągłej innowacyjności, agresywnym kampaniom spearphishingowym i konsekwentnym próbom unikania wykrycia. Dopóki trwa rosyjska inwazja na Ukrainę, można się spodziewać, że Gamaredon będzie nadal rozwijał swoje taktyki i intensyfikował operacje cyberszpiegowskie wymierzone w ukraińskie instytucje

Zoltán Rusnák

badacz ESET monitorujący aktywność grupy Gamaredon

Szczegółową analizę oraz techniczne omówienie zestawu narzędzi wykorzystywanych przez Gamaredon można znaleźć w najnowszym raporcie ESET.