СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
11.04.2025
#ИБ#Инфра

Хакер GOFFEE: новая угроза для критической инфраструктуры России

Хакер GOFFEE: новая угроза для критической инфраструктуры России

Источник: securelist.com

С начала 2022 года на территории Российской Федерации активировалась хакерская группа под названием GOFFEE. Эта группа начала с атак, использующих фишинговые электронные письма с вредоносными вложениями, и с тех пор значительно эволюционировала в своих методах. К 2024 году GOFFEE демонстрирует комплексный подход к кибератакам, внедряя новые вредоносные программы и стратегии заражения.

Динамика атак GOFFEE

Изначально GOFFEE использовала фишинговые схемы, но в середине 2023 года они начали применять модифицированную версию модуля Owowa IIS. В 2024 году хакеры внедрили исправленные экземпляры explorer.exe и представили новый имплантат под названием «PowerModul».

Новые инструменты и методы

Стратегии заражения GOFFEE разнообразны, включая:

  • Фишинговые электронные письма с архивами RAR, маскирующими исполняемые файлы.
  • Использование документов Microsoft Office с запутанными макросами для автоматизации вредоносных действий.
  • Обманчивые двойные расширения файлов, такие как «.pdf.exe», для сокрытия настоящих исполняемых файлов.

Функции PowerModul

Имплантат PowerModul представляет собой скрипт на PowerShell, предназначенный для извлечения и выполнения дополнительных сценариев с сервера C2. Основные функции:

  • Извлечение и загрузка PowerTaskel.
  • Новая функция «OfflineWorker()», создающая различные полезные приложения.
  • Инструменты для кражи файлов, такие как FlashFileGrabber и USB Worm.

Эволюция методов атак

GOFFEE активно совершенствует свои технологии. В частности, они начинают отходить от PowerTaskel и переходят к бинарному агенту Mythic, который облегчает горизонтальное перемещение по сетям. Этот новый агент имеет файловую структуру polyglot, что позволяет ему работать с различными форматами.

Заключение

Акты хакерской группы GOFFEE с июля по декабрь 2024 года демонстрируют их способность к инновациям и адаптации. Внедрение PowerModul и переход на бинарный Mythic agent укрепляют их позиций в хакерском сообществе и ставят под угрозу российские предприятия, работающие в критически важных секторах.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: