СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
16 января
#ИБ

Gamaredon перешёл на BITS: эволюция загрузчиков GamaLoad

Кратко: Анализ показал, что группа Gamaredon внесла заметные изменения в свои скрипты GamaLoad и теперь использует фоновую интеллектуальную службу передачи данных — BITS — в качестве основного метода загрузки полезных файлов. Это означает отход от ранее применявшихся Living-off-the-Land решений и повышение скрытности операций злоумышленников.

Что изменилось

Ранее Gamaredon чаще полагалась на LOLbins — системные бинарники, которые позволяют выполнять сетевые запросы и запускать код без размещения дополнительных файлов на диске (в отчёте упоминаются mshta.exe и MSXML2.XMLHTTP). Сейчас в GamaLoad внедрена интеграция с BITS, утилитой Windows, разработанной для надёжной фоновой загрузки данных. Это дает злоумышленникам возможность извлекать полезную нагрузку более скрытно и устойчиво.

Технические особенности

  • BITS работает в фоне и предназначена для надёжной передачи файлов, что позволяет обойти многие традиционные механизмы обнаружения и блокировки.
  • Переход от LOLbins к BITS уменьшает зависимость от очевидных вызовов системных инструментов вроде mshta.exe или MSXML2.XMLHTTP, которые ранее могли служить сигналом тревоги для систем мониторинга.
  • Злоумышленник сохраняет ту же архитектурную «резервную» структуру и логику доставки полезной нагрузки, но меняет инструменты выполнения — это эволюционный, а не революционный шаг.

Почему это важно

Интеграция BITS позволяет обходить средства защиты, настроенные против более традиционных методов доставки. Такая адаптивность свидетельствует о том, что Gamaredon способна эволюционировать под давлением мер по обнаружению и смягчению последствий, демонстрируя продуманный подход к поддержанию активности и скрытности.

«BITS — это утилита для Windows, предназначенная для надежной фоновой загрузки, которую злоумышленники используют для скрытного извлечения вредоносных полезных файлов без необходимости использования дополнительных инструментов на диске.»

Что это значит для организаций и специалистов по безопасности

По мере изменения методов атаки растёт необходимость в адаптивных стратегиях защиты. Рекомендуемые шаги:

  • Проверить и усилить контроль за использованием BITS в корпоративной сети: мониторинг нестандартных задач и аномалий в инициаторах загрузок.
  • Обновить правила обнаружения и поведенческие сигнатуры, ориентируясь не только на вызовы LOLbins, но и на аномалии в активности фоновых сервисов передачи данных.
  • Применять многослойные меры защиты: контроль целостности, анализ сетевого трафика и ограничение прав процессов на создание фоновых задач.

Вывод

Переход Gamaredon к использованию BITS — логичное развитие их тактики, направленное на повышение устойчивости и скрытности операций. Это подчеркивает важность постоянного обновления средств обнаружения и внедрения проактивных мер, чтобы не допустить успешного использования новых векторов доставки полезной нагрузки.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: