Группа DarkGaboon, названная в честь африканской гадюки, атакует российские компании, особенно их финансовые подразделения, с мая 2023 года. Используя относительно простой вредонос Revenge RAT, они долгое время оставались незамеченными благодаря регулярным обновлениям своего инструментария и маскировке под легитимный трафик. Группировка применяла украденные электронные адреса для рассылки писем с вредоносными вложениями под видом деловой корреспонденции, что повышало их шансы на успешную атаку.
Злоумышленники активно использовали схожие вредоносные образцы, отличавшиеся лишь незначительными изменениями в названиях и способах доставки. Они применяли одни и те же шаблоны документов-приманок, немного изменяя их, чтобы обходить антивирусные базы. Кроме того, DarkGaboon использовала омоглифы в названиях вредоносных файлов, затрудняя их обнаружение. Для подписи вредоносного кода они использовали поддельные сертификаты X.509 с русскоязычными названиями, а также сертификаты, популярные среди киберпреступников.
Ошибки, допущенные при экстренной смене управляющих серверов, позволили выявить связь между кластерами rampage и kilimanjaro, использовавшимися DarkGaboon. Применяя старые методы обхода систем защиты, хакеры оставались незамеченными более полутора лет. Спешка привела к тому, что они перестали быть «невидимками».
Исследование показывает, что DarkGaboon, вероятно, русскоязычная группа, так как они хорошо владеют русским языком, используют русскоязычные названия в документах и применяют обсценную лексику. Обнаруженные признаки указывают на целенаправленные атаки на российские организации, включая кредитно-финансовые учреждения, торговые сети и другие. Для защиты от подобных атак рекомендуется проверять все вложения электронной почты, обращать внимание на подозрительных отправителей и остерегаться файлов с несколькими расширениями или не соответствующими значками.
Изображение носит иллюстративный характер
Злоумышленники активно использовали схожие вредоносные образцы, отличавшиеся лишь незначительными изменениями в названиях и способах доставки. Они применяли одни и те же шаблоны документов-приманок, немного изменяя их, чтобы обходить антивирусные базы. Кроме того, DarkGaboon использовала омоглифы в названиях вредоносных файлов, затрудняя их обнаружение. Для подписи вредоносного кода они использовали поддельные сертификаты X.509 с русскоязычными названиями, а также сертификаты, популярные среди киберпреступников.
Ошибки, допущенные при экстренной смене управляющих серверов, позволили выявить связь между кластерами rampage и kilimanjaro, использовавшимися DarkGaboon. Применяя старые методы обхода систем защиты, хакеры оставались незамеченными более полутора лет. Спешка привела к тому, что они перестали быть «невидимками».
Исследование показывает, что DarkGaboon, вероятно, русскоязычная группа, так как они хорошо владеют русским языком, используют русскоязычные названия в документах и применяют обсценную лексику. Обнаруженные признаки указывают на целенаправленные атаки на российские организации, включая кредитно-финансовые учреждения, торговые сети и другие. Для защиты от подобных атак рекомендуется проверять все вложения электронной почты, обращать внимание на подозрительных отправителей и остерегаться файлов с несколькими расширениями или не соответствующими значками.
