Новости Хак-группа Gamaredon атаковала нефтеперерабатывающий завод в стране НАТО

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.223
Репутация
11.795
Реакции
61.959
RUB
50
Специалисты Palo Alto Networks , что еще летом текущего года русскоязычная хак-группа Gamaredon (она же Actinium, Armageddon, Iron Tilden, Primitive Bear, Shuckworm, Trident Ursa и Winterflounder) атаковала неназванную нефтеперерабатывающую компанию в стране из блока НАТО.


По данным исследователей, упомянутая атака произошла 30 августа 2022 года, однако не увенчалась успехом. В целом в последнее время группировка в основном атакует украинские организации (и реже организации в странах НАТО), нацеливаясь на сбор конфиденциальных данных.


«Trident Ursa остается одной из самых вездесущих, навязчивых, постоянно активных и целенаправленных APT, ориентированных на Украину, — пишут эксперты, отмечая, что хакеры в основном занимаются сбором информации и созданием доступов к скомпрометированным сетям. — Группировка остается гибкой и адаптирующейся APT, которая не использует в своих операциях чрезмерно сложные и комплексные техники. В большинстве случаев для успешного выполнения операций хакеры полагаются на общедоступные инструменты и скрипты (наряду со значительным количеством обфускаторов), а также на рутинные попытки фишинга».

Мониторинг активности группы выявил более 500 новых доменов, 200 образцов малвари, а также многочисленные изменения в тактике, произошедшие за последние 10 месяцев в ответ на постоянно меняющиеся и расширяющиеся задачи и приоритеты.


Схема атаки

Согласно отчету Palo Alto Networks, в основном Gamaredon по-прежнему полагается на целевой фишинг и заражает машины своих жертв инфостилерами. Для этих задач хакеры чаще всего используют письма с файлами-приманками, написанными на украинском языке, но в последнее время были обнаружены образцы и с англоязычными приманками.

К примеру, среди файлов, использованных при неудачной атаке на нефтеперерабатывающий завод неназванной компании, были MilitaryassistanceofUkraine.htm и Necessary_military_assistance.rar.

Исследователи полагают, что это свидетельствует о том, что теперь хакеры больше интересуются сбором данных и доступами к сетям союзников Украины в странах НАТО.

 
Сверху Снизу