В Cisco Talos повідомили про кібератаку Gamaredon на Україну. Вона триває з листопада 2024
Аналітики Cisco Talos виявили кібератаку, націлену на користувачів в Україні, з боку хакерського кібершпигунського угруповання Gamaredon, яке повʼязують з ФСБ. Для розповсюдження бекдору, в атаці використовують docx-файли з іменами російських чи українських агентів у назві, а також натяки на пересування військ.
Що відомо
- За даними Cisco Talos, атака триває щонайменше з листопада 2024 року.
- В рамках атаки розповсюджують шкідливі LNK-файли, що запускають завантажувач PowerShell, який зв’язується з геозонованими серверами, розташованими в росії та Німеччині, щоб завантажити zip-файл другого етапу, який містить бекдор Remcos. Цікаво, що доступ до серверів можуть отримати лише користувачі з України.
- Аналітики вважають, що за атакою стоїть Gamaredon (також відомі як UAC-0010 / Armageddon / Primitive Bear) – російська кібершпигунська організація, переважно націлена на українські державні структури. Угруповання діє з 2013 року. За даними Держспецзвʼязку, до нього належать колишні офіцери СБУ в АР Крим, які у 2014 почали працювати на ФСБ росії.
- Gamaredon зазвичай використовує тему вторгнення в Україну у своїх фішингових кампаніях, поширюючи zip-архивовані LNK-файли, замасковані під документ MS Office, і використовуючи імена, пов’язані з вторгненням.
- В файлах використовуються імена російських чи українських агентів, а також імена, які натякають на пересування військ у регіоні конфлікту. Нижче наведено кілька прикладів імен файлів, які використовуються в цій кампанії:
- 3079807576 (Шашило О.В)/ШАШИЛО Олександр Віталійович.docx.lnk
- 3151721177 (Рибак С.В)/РИБАК Станіслав Вікторович.docx.lnk
- 3407607951 (Жолоб В.В)/ЖОЛОБ Владислав Вікторович.docx.lnk
- 3710407173 (Гур’єв П.А)/ГУР’ЄВ Павло Андрійович.docx.lnk
- Вероятное расположение узлов связи, установок РЭБ и расчетов БПЛА противника. ЮГ КРАСНОАРМЕЙСКА.docx.lnk
- ГУР’ЄВ Павло Андрійович.docx.lnk
- Координаты взлетов противника за 8 дней (Красноармейск).xlsx.lnk
- Позиции противника запад и юго-запад.xlsx.lnk
- РИБАК Станіслав Вікторович.docx.lnk
- ШАШИЛО Олександр Віталійович.docx.lnk
- Кіберексперти не змогли точно визначити метод розповсюдження шкідливих файлів, та допускають, що Gamaredon надсилає їх у фішингових електронних листах, до яких прикріплені zip-архіви або URL-посилання для завантаження файлу з віддаленого хосту.
Нагадаємо, через масштабну атаку декілька днів не працювали онлайн-сервіси «Укрзалізниці». Збій стався 23 березня, у повному обсязі сервіси не відновили дотепер. Робота над цим триває.
Помітили помилку? Виділіть його мишею та натисніть Shift+Enter.
1 Квітня, 2025
В Cisco Talos повідомили про кібератаку Gamaredon на Україну. Вона триває з листопада 2024
2 хв. читання
Аналітики Cisco Talos виявили кібератаку, націлену на користувачів в Україні, з боку хакерського кібершпигунського угруповання Gamaredon, яке повʼязують з ФСБ. Для розповсюдження бекдору, в атаці використовують docx-файли з іменами російських чи українських агентів у назві, а також натяки на пересування військ.
Що відомо
- За даними Cisco Talos, атака триває щонайменше з листопада 2024 року.
- В рамках атаки розповсюджують шкідливі LNK-файли, що запускають завантажувач PowerShell, який зв’язується з геозонованими серверами, розташованими в росії та Німеччині, щоб завантажити zip-файл другого етапу, який містить бекдор Remcos. Цікаво, що доступ до серверів можуть отримати лише користувачі з України.
- Аналітики вважають, що за атакою стоїть Gamaredon (також відомі як UAC-0010 / Armageddon / Primitive Bear) – російська кібершпигунська організація, переважно націлена на українські державні структури. Угруповання діє з 2013 року. За даними Держспецзвʼязку, до нього належать колишні офіцери СБУ в АР Крим, які у 2014 почали працювати на ФСБ росії.
- Gamaredon зазвичай використовує тему вторгнення в Україну у своїх фішингових кампаніях, поширюючи zip-архивовані LNK-файли, замасковані під документ MS Office, і використовуючи імена, пов’язані з вторгненням.
- В файлах використовуються імена російських чи українських агентів, а також імена, які натякають на пересування військ у регіоні конфлікту. Нижче наведено кілька прикладів імен файлів, які використовуються в цій кампанії:
- 3079807576 (Шашило О.В)/ШАШИЛО Олександр Віталійович.docx.lnk
- 3151721177 (Рибак С.В)/РИБАК Станіслав Вікторович.docx.lnk
- 3407607951 (Жолоб В.В)/ЖОЛОБ Владислав Вікторович.docx.lnk
- 3710407173 (Гур’єв П.А)/ГУР’ЄВ Павло Андрійович.docx.lnk
- Вероятное расположение узлов связи, установок РЭБ и расчетов БПЛА противника. ЮГ КРАСНОАРМЕЙСКА.docx.lnk
- ГУР’ЄВ Павло Андрійович.docx.lnk
- Координаты взлетов противника за 8 дней (Красноармейск).xlsx.lnk
- Позиции противника запад и юго-запад.xlsx.lnk
- РИБАК Станіслав Вікторович.docx.lnk
- ШАШИЛО Олександр Віталійович.docx.lnk
- Кіберексперти не змогли точно визначити метод розповсюдження шкідливих файлів, та допускають, що Gamaredon надсилає їх у фішингових електронних листах, до яких прикріплені zip-архіви або URL-посилання для завантаження файлу з віддаленого хосту.
Нагадаємо, через масштабну атаку декілька днів не працювали онлайн-сервіси «Укрзалізниці». Збій стався 23 березня, у повному обсязі сервіси не відновили дотепер. Робота над цим триває.
Помітили помилку? Виділіть його мишею та натисніть Shift+Enter.
