Команда Cisco Talos Intelligence виявила активну кампанію кібератак, спрямовану на користувачів в Україні. Ця операція, яка триває щонайменше з листопада 2024 року, використовує складні методи для доставки шкідливого програмного забезпечення, зокрема бекдору Remcos. Про деталі цієї загрози йдеться у матеріалі, опублікованому 28 березня 2025 року на блозі Talos.
Як працює атака?
Зловмисники розсилають фішингові електронні листи, які або містять ZIP-архіви як вкладення, або надають посилання для їх завантаження. Усередині архівів знаходяться LNK-файли, замасковані під документи Microsoft Office. Назви цих файлів часто пов’язані з темою війни в Україні, що є характерною рисою тактики групи Gamaredon. При активації LNK-файлу запускається PowerShell-код, який одночасно завантажує наступний етап атаки та відображає користувачу фальшивий документ як відволікання.
Наступний етап включає ZIP-архів із двома компонентами: чистою програмою та шкідливим DLL-файлом. Останній використовує техніку DLL side-loading для запуску. Цей DLL розшифровує та активує фінальний payload — троян віддаленого доступу (RAT) Remcos, який дозволяє зловмисникам контролювати інфіковані системи.
PowerShell-скрипти в цій кампанії демонструють хитрощі для уникнення виявлення. Зокрема, вони застосовують cmdlet Get-Command як обхідний механізм, що ускладнює їх ідентифікацію антивірусними програмами. У ZIP-архівах також присутня суміш чистих і шкідливих файлів, що може заплутати системи безпеки та аналітиків.
Інфраструктура атаки включає сервери, розташовані в Німеччині та Росії. Ці сервери налаштовані з географічним обмеженням: завантаження шкідливого вмісту можливе лише з України. Спроби доступу з інших регіонів отримують помилку HTTP 403, що свідчить про чітке таргетування.
Хто стоїть за атакою?
Команда Talos із середнім рівнем впевненості пов’язує цю кампанію з групою Gamaredon, яка давно відома своєю діяльністю на користь російських інтересів. Докази включають повторне використання двох машин для створення LNK-файлів, які раніше фіксувалися в операціях цієї групи. Хоча Gamaredon традиційно покладався на власні інструменти та скрипти, перехід до використання бекдору Remcos може вказувати на еволюцію їхньої тактики.
Тематика вторгнення в Україну залишається ключовим елементом приманок у фішингових атаках Gamaredon. Ця кампанія є частиною ширшої тенденції, де кіберзлочинці експлуатують геополітичні конфлікти для досягнення своїх цілей. Використання комерційного інструменту, такого як Remcos, також підкреслює адаптивність групи до нових умов і технологій.
Cisco Talos продовжує відстежувати цю загрозу, наголошуючи на важливості пильності для користувачів в Україні. Захист від подібних атак вимагає обережності при роботі з невідомими вкладеннями та посиланнями, а також оновлених систем безпеки для виявлення складних шкідливих програм.
Ця кампанія є черговим нагадуванням про те, що кіберпростір залишається полем битви, де тактики постійно вдосконалюються, а загрози стають дедалі витонченішими.
Технічні подробиці в блозі Cisco Talos
За даними наших спеціалістів з CERT-UA, UAC-0010 / Gamaredon / Armageddon – одне з найбільш активних і дієздатних ворожих хакерських угрупувань. До нього належать колишні «офіцери»-зрадники СБУ в АР Крим, які у 2014 почали прислужувати ФСБ росії.