Кибершпионы Gallmaker атакуют военные и правительственные организации по всему миру
Для компрометации компьютерных систем жертв злоумышленники используют официальные и публично доступные инструменты.
Эксперты компании Symantec раскрыли подробности о деятельности киберпреступной группировки Gallmaker, атакующей правительственные и военные организации по всему миру с целью кибершпионажа. Примечательно, злоумышленники не используют вредоносное ПО для перехвата контроля над системами жертв – в атаках применяются легитимные инструменты, например, фреймворк Metasploit и оболочка PowerShell. Группировка активна по меньшей мере с декабря 2017 года. Список ее жертв включает ряд зарубежных посольств одной из стран Восточной Европы (о каком государстве идет речь, не раскрывается) и несколько военных структур в странах Среднего Востока. Специалисты не могут с уверенностью сказать, спонсируется ли Gallmaker каким-либо правительством, но отмечают, что за операциями стоит «весьма компетентная организация».
В ходе атак злоумышленники рассылают фишинговые письма с документами на правительственную, военную или дипломатическую тематику. Для компрометации систем жертвы злоумышленники эксплуатируют функцию Dynamic Data Exchange (DDE) в приложении Word. Протокол DDE применяется для обмена информацией между программами пакета Office, которые используют общие данные или общую память. В минувшем году компания Microsoft выпустила обновление, отключающее функционал в Word и Excel.
Вместо вредоносного ПО группировка Gallmaker применяет различные легитимные процессы и инструменты, доступные в интернете или включенные в состав Windows. К примеру функция WindowsRoamingToolsTask используется для планирования задач и скриптов PowerShell, а с помощью инструмента Metasploit злоумышленники обфусцируют шелл-код, исполняемый из PowerShell. Для связи с управляющим сервером и выполнения команд участники группы используют официальную версию архиватора WinZip, а также применяют библиотеку Rex PowerShell для создания и манипуляции скриптами PowerShell. По завершении атакующие удаляют инструменты с компьютера жертвы, чтобы замести следы.
По данным Symantec, в период с декабря 2017 года по июнь 2018 года злоумышленники провели 20 атак, насколько они оказались успешными, специалисты выяснить не смогли.