Специалисты Positive Technologies обнаружили ранее неизвестный набор инструментов, применявшийся группой Goffee. Эти средства использовались на поздних этапах атак и обеспечивали злоумышленникам длительное скрытное присутствие в инфраструктуре жертв. Деятельность APT-группировки уже привела к серьёзным последствиям, в том числе к остановке бизнес-процессов в отдельных российских организациях.
В течение 2024 года аналитики Positive Technologies расследовали ряд инцидентов с похожими признаками. По результатам анализа вредоносную активность объединили в один кластер и отнесли к действиям APT-группы Goffee, которая с 2022 года атакует российские организации, используя фишинговые приёмы.
Зафиксированные атаки повлекли ощутимые последствия: в некоторых пострадавших компаниях были приостановлены бизнес-процессы. При этом в открытых источниках информации о группе крайне мало. Это объясняется стремлением злоумышленников к незаметности и узкой географией их операций: Goffee преимущественно нацелена на организации в России.
Эксперты Positive Technologies установили, какие вредоносные инструменты применялись на поздних этапах атак. Для удалённого управления и сокрытия следов использовались новые средства: руткит sauropsida, инструменты туннелирования трафика DQuic и BindSycler, а также бэкдор MiRat. Одновременно группировка задействовала и ранее известные инструменты, такие как owowa — модуль для получения учётных записей пользователей, и PowerTaskel — непубличный агент для фреймворка Mythic.
Аналитики также описали сетевой профиль злоумышленников: Goffee используют российские IP-адреса и отечественные хостинги. Такая тактика снижает вероятность обнаружения, поскольку маскирует активность под действия внутреннего сотрудника и помогает обходить географическую фильтрацию трафика. Благодаря этому на промежуточных этапах атаки злоумышленники доставляют вредоносное ПО и настраивают скрытые соединения, оставаясь незамеченными.
«GOFFEE демонстрируют высокую техническую подготовку и уделяют внимание сокрытию атаки: например, используют собственные инструменты для туннелирования трафика и руткит. Это позволяет им длительное время оставаться незамеченными даже в защищённой инфраструктуре, а также затруднить анализ поздних этапов атаки. Группировка преимущественно атакует госорганизации в России с целью шпионажа», — отмечает Варвара Колоскова, специалист отдела исследования угроз TI-департамента экспертного центра безопасности Positive Technologies.
Для противодействия таким угрозам необходим комплекс мер: выстраивание процессов управления уязвимостями и мониторинга безопасности, а также проектирование ИТ-инфраструктуры с учётом современных политик информационной безопасности. Эти меры усложнят продвижение злоумышленников, увеличат их путь и цепочку действий, что позволит быстрее выявлять попытки компрометации и предотвращать опасные последствия.
