Специалисты Palo Alto Networks сообщили, что еще летом текущего года русскоязычная хак-группа Gamaredon (она же Actinium, Armageddon, Iron Tilden, Primitive Bear, Shuckworm, Trident Ursa и Winterflounder) атаковала неназванную нефтеперерабатывающую компанию в стране из блока НАТО.
По данным исследователей, упомянутая атака произошла 30 августа 2022 года, однако не увенчалась успехом. В целом в последнее время группировка в основном атакует украинские организации (и реже организации в странах НАТО), нацеливаясь на сбор конфиденциальных данных.
«Trident Ursa остается одной из самых вездесущих, навязчивых, постоянно активных и целенаправленных APT, ориентированных на Украину, — пишут эксперты, отмечая, что хакеры в основном занимаются сбором информации и созданием доступов к скомпрометированным сетям. — Группировка остается гибкой и адаптирующейся APT, которая не использует в своих операциях чрезмерно сложные и комплексные техники. В большинстве случаев для успешного выполнения операций хакеры полагаются на общедоступные инструменты и скрипты (наряду со значительным количеством обфускаторов), а также на рутинные попытки фишинга».
Мониторинг активности группы выявил более 500 новых доменов, 200 образцов малвари, а также многочисленные изменения в тактике, произошедшие за последние 10 месяцев в ответ на постоянно меняющиеся и расширяющиеся задачи и приоритеты.
Согласно отчету Palo Alto Networks, в основном Gamaredon по-прежнему полагается на целевой фишинг и заражает машины своих жертв инфостилерами. Для этих задач хакеры чаще всего используют письма с файлами-приманками, написанными на украинском языке, но в последнее время были обнаружены образцы и с англоязычными приманками. К примеру, среди файлов, использованных при неудачной атаке на нефтеперерабатывающий завод неназванной компании, были MilitaryassistanceofUkraine.htm и Necessary_military_assistance.rar.
Исследователи полагают, что это свидетельствует о том, что теперь хакеры больше интересуются сбором данных и доступами к сетям союзников Украины в странах НАТО.