Кибершпионы Gallmaker атакуют военные и правительственные организации по всему миру

Кибершпионы Gallmaker атакуют военные и правительственные организации по всему миру

Для компрометации компьютерных систем жертв злоумышленники используют официальные и публично доступные инструменты.

Эксперты компании Symantec раскрыли подробности о деятельности киберпреступной группировки Gallmaker, атакующей правительственные и военные организации по всему миру с целью кибершпионажа. Примечательно, злоумышленники не используют вредоносное ПО для перехвата контроля над системами жертв – в атаках применяются легитимные инструменты, например, фреймворк Metasploit и оболочка PowerShell.

Группировка активна по меньшей мере с декабря 2017 года. Список ее жертв включает ряд зарубежных посольств одной из стран Восточной Европы (о каком государстве идет речь, не раскрывается) и несколько военных структур в странах Среднего Востока. Специалисты не могут с уверенностью сказать, спонсируется ли Gallmaker каким-либо правительством, но отмечают, что за операциями стоит «весьма компетентная организация».

В ходе атак злоумышленники рассылают фишинговые письма с документами на правительственную, военную или дипломатическую тематику. Для компрометации систем жертвы злоумышленники эксплуатируют функцию Dynamic Data Exchange (DDE) в приложении Word. Протокол DDE применяется для обмена информацией между программами пакета Office, которые используют общие данные или общую память. В минувшем году компания Microsoft выпустила обновление, отключающее функционал в Word и Excel.

Вместо вредоносного ПО группировка Gallmaker применяет различные легитимные процессы и инструменты, доступные в интернете или включенные в состав Windows. К примеру функция WindowsRoamingToolsTask используется для планирования задач и скриптов PowerShell, а с помощью инструмента Metasploit злоумышленники обфусцируют шелл-код, исполняемый из PowerShell. Для связи с управляющим сервером и выполнения команд участники группы используют официальную версию архиватора WinZip, а также применяют библиотеку Rex PowerShell для создания и манипуляции скриптами PowerShell. По завершении атакующие удаляют инструменты с компьютера жертвы, чтобы замести следы.

По данным Symantec, в период с декабря 2017 года по июнь 2018 года злоумышленники провели 20 атак, насколько они оказались успешными, специалисты выяснить не смогли.

Большой брат следит за вами, но мы знаем, как остановить его

Подпишитесь на наш канал!