Goffee: сложные атаки на российские организации и модификации ПО

Группа Goffee с 2022 года систематически проводит кибератаки против российских организаций, демонстрируя высокий уровень технической подготовки и адаптивности. Их кампании характеризуются использованием как открытых, так и проприетарных инструментов, уникальными модификациями известных вредоносных семейств и собственными Unix-ориентированными скриптами. Это затрудняет судебно-медицинский анализ и усложняет обнаружение и нейтрализацию атак.

Ключевые особенности операций

Анализ активности Goffee выявил ряд характерных особенностей их тактики, техник и процедур (TTP):

• Модификации известных образцов: группа использовала уникальные версии вредоносного ПО, включая модифицированные варианты owowa и Nim-дропперов Infinity Loader, а также сохранила Sliver в качестве конечной полезной нагрузки.
• Собственные утилиты и скрипты для Unix: разработаны вредоносные скрипты, ориентированные на Unix-системы, что расширяет возможности атак против серверной инфраструктуры.
• Обфускация и шифрование: применение средства обфускации трафика, Ebowla packer и собственных алгоритмов шифрования для трафика и файлов, что затрудняет анализ и атрибуцию.
• Модульная архитектура: PowerTaskel был модифицирован для поэтапной загрузки дополнительных модулей, что свидетельствует о продуманной и гибкой архитектуре атак.
• Расширенные возможности туннелирования: использование DQuic (туннелирование через QUIC, реализованное на основе старой версии picoquic) и BindSycler (Golang-инструмент для туннелирования по SSH, запутанный с помощью garble).

Инфраструктура и фишинговая активность

Goffee использовала структурированную сетевую инфраструктуру для проведения кампаний, в том числе регистрировала вредоносные домены преимущественно в зонах .ru и .com/.org. Для рассылки фишинг-писем применялся GoPhish. В качестве хостинга выбирались IP и провайдеры, известные своей снисходительной позицией к злоумышленникам.

Типичная операционная последовательность включала отдельные этапы, каждый из которых имел свои сетевые характеристики и показатели компрометации, что позволило исследователям составить карту действий группы и идентифицировать индикаторы компрометации.

Известные инциденты и хронология

• 2022 — начало активности: систематическое нацеливание на российские организации, сбор инфраструктурных данных и развитие набора инструментов.
• Июль 2024: атака с использованием PowerTaskel, модифицированного для поэтапной загрузки дополнительных модулей.
• Октябрь 2024: целевая атака с использованием измeнённой версии owowa для сбора учетных данных и новых форматов для Nim-дропперов Infinity Loader; Sliver как финальная полезная нагрузка.
• К концу 2024: сложное проникновение через скомпрометированную учетную запись и эксплуатацию уязвимости для доступа к интерпретатору bash; проводился сбор данных об инфраструктуре и установление удаленного соединения.
• Июль 2025: инцидент с фишинговым письмом, замаскированным под сообщение Министерства промышленности и торговли России, содержащим вредоносный архив, предназначенный для эксплуатации систем получателя.

Инструменты, заслуживающие внимания

• DQuic — туннелирование оболочки через протокол QUIC, основано на старой версии библиотеки picoquic, что указывает на длительную историю разработки (вплоть до 2023 года).
• BindSycler — инструмент на базе Golang для туннелирования трафика по SSH; разработчики применили garble для запутывания и скрытия рабочих параметров.
• PowerTaskel — модифицирован для поэтапной загрузки дополнительных модулей.
• owowa — модифицированная версия использовалась для сбора учетных данных.
• Infinity Loader (Nim) — новые форматы дропперов, используемые для доставки полезной нагрузки.
• Sliver — применялся в качестве конечной полезной нагрузки в ряде атак.
• GoPhish — инструмент для организации фишинговых кампаний.

Цели и приоритеты группы

Goffee целенаправленно нацеливается на российские организации, включая структуры военно-промышленного комплекса, что делает их деятельность особенно опасной с точки зрения национальной безопасности и критической инфраструктуры. Выбор жертв и методы социнженерии указывают на тщательную подготовку фишинговых сообщений и использование тематики, релевантной для целевой аудитории.

«Группа демонстрирует сочетание кастомных разработок и адаптаций известных инструментов, что затрудняет детектирование и анализ их кампаний»

Выводы и практические выводы

• Goffee — технически оснащённая и адаптивная группа с модульной архитектурой атак и богатым набором как открытых, так и проприетарных инструментов.
• Использование мощной обфускации, шифрования и нестандартных каналов связи (например, QUIC) требует повышенного внимания к сетевому мониторингу и ретроспективному анализу трафика.
• Организациям, особенно в госсекторе и ВПК, следует усилить контроль над учетными записями, мониторингом инцидентов и механизмами проверки вложений и архивов в почте.

Наблюдаемая активность Goffee подчёркивает важность интегрированного подхода к безопасности: сочетания сетевого мониторинга, анализа поведения конечных точек и обучения пользователей для противодействия целенаправленным фишинг-кампаниям и сложным многоступенчатым взломам.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.