СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
24.03.2025
#ИБ#Инфра

Неуловимый враг: хакерская группа GOFFEE угрожает России

Неуловимый враг: хакерская группа GOFFEE угрожает России

Источник: bi.zone

Группа Paper Werewolf, также известная как GOFFEE, с 2022 года активно атакует российские организации, используя сложные киберкампании. Основные цели злоумышленников — госсектор и энергетическая инфраструктура. В данном отчете подробно рассматриваются методы, применяемые этой группой, и последствия её действий.

Методы атак

Кибератаки GOFFEE в основном строятся на использовании:

  • Фишинга для взлома инфраструктуры.
  • Вложений Microsoft Word с вредоносными макросами.
  • Скриптов PowerShell для выполнения команд.
  • Передовых технологий маскировки вредоносного ПО.

Злоумышленники используют вложения в письмах, которые включают вредоносные макросы. Пользователь, открывая документ, вынужден активировать макрос, что дает возможность атакующим выполнить свои сценарии. После активации создается файл JavaScript, который, в частности, активирует скрипт PowerShell, расположенный по адресу %UserProfile%usecache.ini.

Технологическая изощренность

Один из основных инструментов, используемых группой, — PowerRAT, который устанавливает связь с удаленным сервером для выполнения команд через XML. Злоумышленники внедряют различные методы маскировки, включая:

  • Замена символов русскими буквами для шифрования вредоносных документов.
  • Отслеживание доступа к документам с помощью изображений-приманок.

Эти меры значительно усложняют обнаружение атак и предотвращение вторжений.

Инструменты и дополнительные тактики

Для повышения эффективности своих операций GOFFEE использует:

  • Загрузчик, маскирующийся под процесс explorer.exe.
  • Модуль Internet Information Services (IIS) под названием Owowa, предназначенный для перехвата учетных данных пользователей.
  • Chisel — инструмент для создания избыточных каналов доступа.
  • Вероятное использование PsExec для выполнения удаленных команд.

Такое разнообразие инструментов и методов дает группе возможность оставаться скрытой, минимизируя риск обнаружения своих операций.

Подводя итоги

Кибератаки группы Paper Werewolf демонстрируют высокую степень адаптивности и инновационный подход к реализации атак. Эти операции подчеркивают необходимость усиления киберзащиты в критических секторах и важность постоянного мониторинга для обеспечения безопасности информации в условиях растущих угроз.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: