stihl не предоставил(а) никакой дополнительной информации.
С мая 2023 года финансовые подразделения российских компаний атакует ранее неизвестная группировка DarkGaboon. Её особенностью является использование вредоносной программы Revenge RAT и поддельных документов, имитирующих легитимные материалы финансовой тематики.
Активность DarkGaboon впервые привлекла внимание департамента киберразведки Positive Technologies (PT Expert Security Center) в октябре 2024 года, когда была обнаружена волна атак с использованием Revenge RAT, нацеленная на российские финансовые структуры.
Хотя первые версии этой программы появились ещё в 2018 году, исследователи выявили, что элементы инфраструктуры злоумышленников носят названия, связанные с африканской тематикой. Это позволило связать их с новой финансово мотивированной APT-группировкой, названной DarkGaboon в честь габонской гадюки, обитающей вблизи горы Килиманджаро.
В октябре 2024 года группировка атаковала один из российских банков. В филиал банка было отправлено письмо с темой «Сверка взаиморасчётов». Оно содержало грамотно составленный текст на русском языке, касающийся бухгалтерии, и архив-приманку «Акт сверка.z». В архиве находились таблица Excel, пояснительная записка и вредоносный файл, замаскированный под PDF-документ.
Рассылки осуществлялись с ранее скомпрометированного аккаунта Gmail. Управляющий сервер находился за пределами России и использовал адрес 31.13.224[.]86 с панелью управления Revenge RAT. Домены, связанные с инфраструктурой, формировали кластер под названием "kilimanjaro", при этом сами серверы располагались в Европе.
Вредоносная программа защищена криптером с использованием алгоритма AES и обфускацией .NET Reactor. Все образцы Revenge RAT подписаны поддельными сертификатами X.509. Для обхода эвристического анализа зловред активирует пятиминутный таймер, после чего начинается извлечение и расшифровка полезной нагрузки.
Программа закрепляется в системе через каталог автозапуска или директорию C:\Users\AppData\Roaming, внося изменения в реестр Windows. После закрепления Revenge RAT собирает информацию о системе и отправляет её на управляющий сервер.
DarkGaboon регулярно обновляет свои вредоносные программы и документы-приманки, используя четыре основных шаблона с небольшими изменениями. Эта стратегия позволила долгое время оставаться незамеченными. С марта 2024 года частота обновлений увеличилась, что может указывать на рост активности группировки.
Основные жертвы DarkGaboon — российские компании. Среди пострадавших оказались банки, предприятия розничной торговли, сферы услуг, спорта и туризма.
***
Исследователи из Positive Technologies окончательно расчехлили финансово мотивированную APT‑группировку DarkGaboon, кибератаки которой в отношении российских компаний удалось отследить до весны 2023 года.
Изучению подверглись эволюция вредоносного арсенала, миграция инфраструктуры и TTP группировки, но для полного восстановления kill chain не хватало инструментов и техник конечного импакта.
Однако весной этого года Позитивы смогли отследить активность DarkGaboon и сложить недостающие элементы пазла в ходе расследования инцидентов в инфраструктуре российских компаний.
Прошлые атаки ранее включали только развертывание RAT.
Как оказалось, в арсенале обнаружились: сетевой сканер обнаружения доступных сетевых шар N.S. и шифровальщик LockBit.
Группа не является клиентом известных платформ RaaS, а вместо этого использует утекшую версию кода LockBit.
В качестве основного вектора проникновения DarkGaboon продолжает использовать email‑рассылку c текстом на русском языке с таргетом на сотрудников финансовых подразделений и акцентом на срочности изучения документов во вложении.
В отличие от предыдущих кибератак, где для рассылки вредоносных писем использовались ранее скомпрометированные email, в рамках текущей кампании рассылка осуществлялась с расположенного в России SMTP‑сервера с PHPMailer и 53 делегированных ему доменов в зоне.ru, часть из которых была зарегистрирована еще в августе 2024 года.
Прилагаемые к письмам архивы содержат документы‑приманки RTF и.scr‑файлы, являющиеся обфусцированными Themida и.NET Reactor PE билдами RAT‑троянов Revenge и XWorm, использующими названия‑омоглифы, изображение PDF‑документа и невалидные Х.509-сертификаты, якобы выпущенные на имя российских компаний либо имеющие бухгалтерский подтекст.
После проникновения в сеть, закрепившись с использованием RAT‑троянов, DarkGaboon проводит горизонтальную разведку узлов внутренней сети, доступных с зараженного хоста.
Упакованный с использованием UPX дроппер расшифровывает с помощью алгоритма AES‑ECB, извлекает и запускает на зараженном хосте два инструмента: сетевой сканер N.S. (обнаруживает и монтирует доступные сетевые шары) и 1.exe (командой cleanmgr /sagerun:1 запускает утилиту очистки жесткого диска от временных файлов).
Инфраструктура для управления RAT‑сессиями на зараженных хостах претерпела незначительные изменения: DarkGaboon продолжает использовать группы доменов Dynamic DNS и виртуальный Windows‑хост с RDP, как и прежде арендованный в сетях Nybula LLC с пропиской на Сейшельских островах.
Завершив монтирование доступных сетевых шар, DarkGaboon зашифровывает с помощью LockBit 3.0 (LockBit Black) доступные файлы и оставляет записку с инструкцией на русском языке по их расшифровке, в которой в качестве контактов указаны два адреса электронной почты.
Адреса электронной почты, указанные в обнаруженных записках, ранее фигурировали в кибератаках с использованием шифровальщика LockBit на финансовые подразделения российских компаний в марте - апреле 2023 года.
При этом следы предварительной эксфильтрации зашифрованных данных на инцидентах отсутствуют.
В завершение DarkGaboon зачищает цифровые следы, демаскирующие С2 инфраструктуру, путем запуска BAT‑файла, который удаляет RAT‑троян с сессией удаленного подключения к зараженному хосту и самого себя.
Таким образом, артефакты, обнаруженные в рамках реагирования на инциденты, позволили Позитивам связать DarkGaboon с целой серией кибератак 2023-2025 гг. на российские компании с использованием LockBit и спрогнозировать сохранение высокой активности APT в будущем.
habr.com/ru/companies/pt/articles/915992/
Активность DarkGaboon впервые привлекла внимание департамента киберразведки Positive Technologies (PT Expert Security Center) в октябре 2024 года, когда была обнаружена волна атак с использованием Revenge RAT, нацеленная на российские финансовые структуры.
Хотя первые версии этой программы появились ещё в 2018 году, исследователи выявили, что элементы инфраструктуры злоумышленников носят названия, связанные с африканской тематикой. Это позволило связать их с новой финансово мотивированной APT-группировкой, названной DarkGaboon в честь габонской гадюки, обитающей вблизи горы Килиманджаро.
В октябре 2024 года группировка атаковала один из российских банков. В филиал банка было отправлено письмо с темой «Сверка взаиморасчётов». Оно содержало грамотно составленный текст на русском языке, касающийся бухгалтерии, и архив-приманку «Акт сверка.z». В архиве находились таблица Excel, пояснительная записка и вредоносный файл, замаскированный под PDF-документ.
Рассылки осуществлялись с ранее скомпрометированного аккаунта Gmail. Управляющий сервер находился за пределами России и использовал адрес 31.13.224[.]86 с панелью управления Revenge RAT. Домены, связанные с инфраструктурой, формировали кластер под названием "kilimanjaro", при этом сами серверы располагались в Европе.
Вредоносная программа защищена криптером с использованием алгоритма AES и обфускацией .NET Reactor. Все образцы Revenge RAT подписаны поддельными сертификатами X.509. Для обхода эвристического анализа зловред активирует пятиминутный таймер, после чего начинается извлечение и расшифровка полезной нагрузки.
Программа закрепляется в системе через каталог автозапуска или директорию C:\Users\AppData\Roaming, внося изменения в реестр Windows. После закрепления Revenge RAT собирает информацию о системе и отправляет её на управляющий сервер.
DarkGaboon регулярно обновляет свои вредоносные программы и документы-приманки, используя четыре основных шаблона с небольшими изменениями. Эта стратегия позволила долгое время оставаться незамеченными. С марта 2024 года частота обновлений увеличилась, что может указывать на рост активности группировки.
Основные жертвы DarkGaboon — российские компании. Среди пострадавших оказались банки, предприятия розничной торговли, сферы услуг, спорта и туризма.
***
Исследователи из Positive Technologies окончательно расчехлили финансово мотивированную APT‑группировку DarkGaboon, кибератаки которой в отношении российских компаний удалось отследить до весны 2023 года.
Изучению подверглись эволюция вредоносного арсенала, миграция инфраструктуры и TTP группировки, но для полного восстановления kill chain не хватало инструментов и техник конечного импакта.
Однако весной этого года Позитивы смогли отследить активность DarkGaboon и сложить недостающие элементы пазла в ходе расследования инцидентов в инфраструктуре российских компаний.
Прошлые атаки ранее включали только развертывание RAT.
Как оказалось, в арсенале обнаружились: сетевой сканер обнаружения доступных сетевых шар N.S. и шифровальщик LockBit.
Группа не является клиентом известных платформ RaaS, а вместо этого использует утекшую версию кода LockBit.
В качестве основного вектора проникновения DarkGaboon продолжает использовать email‑рассылку c текстом на русском языке с таргетом на сотрудников финансовых подразделений и акцентом на срочности изучения документов во вложении.
В отличие от предыдущих кибератак, где для рассылки вредоносных писем использовались ранее скомпрометированные email, в рамках текущей кампании рассылка осуществлялась с расположенного в России SMTP‑сервера с PHPMailer и 53 делегированных ему доменов в зоне.ru, часть из которых была зарегистрирована еще в августе 2024 года.
Прилагаемые к письмам архивы содержат документы‑приманки RTF и.scr‑файлы, являющиеся обфусцированными Themida и.NET Reactor PE билдами RAT‑троянов Revenge и XWorm, использующими названия‑омоглифы, изображение PDF‑документа и невалидные Х.509-сертификаты, якобы выпущенные на имя российских компаний либо имеющие бухгалтерский подтекст.
После проникновения в сеть, закрепившись с использованием RAT‑троянов, DarkGaboon проводит горизонтальную разведку узлов внутренней сети, доступных с зараженного хоста.
Упакованный с использованием UPX дроппер расшифровывает с помощью алгоритма AES‑ECB, извлекает и запускает на зараженном хосте два инструмента: сетевой сканер N.S. (обнаруживает и монтирует доступные сетевые шары) и 1.exe (командой cleanmgr /sagerun:1 запускает утилиту очистки жесткого диска от временных файлов).
Инфраструктура для управления RAT‑сессиями на зараженных хостах претерпела незначительные изменения: DarkGaboon продолжает использовать группы доменов Dynamic DNS и виртуальный Windows‑хост с RDP, как и прежде арендованный в сетях Nybula LLC с пропиской на Сейшельских островах.
Завершив монтирование доступных сетевых шар, DarkGaboon зашифровывает с помощью LockBit 3.0 (LockBit Black) доступные файлы и оставляет записку с инструкцией на русском языке по их расшифровке, в которой в качестве контактов указаны два адреса электронной почты.
Адреса электронной почты, указанные в обнаруженных записках, ранее фигурировали в кибератаках с использованием шифровальщика LockBit на финансовые подразделения российских компаний в марте - апреле 2023 года.
При этом следы предварительной эксфильтрации зашифрованных данных на инцидентах отсутствуют.
В завершение DarkGaboon зачищает цифровые следы, демаскирующие С2 инфраструктуру, путем запуска BAT‑файла, который удаляет RAT‑троян с сессией удаленного подключения к зараженному хосту и самого себя.
Таким образом, артефакты, обнаруженные в рамках реагирования на инциденты, позволили Позитивам связать DarkGaboon с целой серией кибератак 2023-2025 гг. на российские компании с использованием LockBit и спрогнозировать сохранение высокой активности APT в будущем.
habr.com/ru/companies/pt/articles/915992/