Киберразведка компании Positive Technologies (PT) представила результаты расследования, в котором была выявлена новая APT-группировка под названием DarkGaboon. Данная группа киберпреступников ведет активности на российском рынке с мая 2023 года и сосредоточена на осуществлении атак на финансовые подразделения различных организаций.

Специалисты PT зафиксировали, что DarkGaboon использует зловредное программное обеспечение Revenge RAT и аккуратно разрабатывает свои атаки, загружая шаблоны финансовых документов с легитимных российских ресурсов. В середине октября 2024 года группировка осуществила таргетированную рассылку, отправляя электронное письмо сотрудникам одного из банков с грамотно составленным сопроводительным текстом на русском языке.

По словам экспертов, деятельность DarkGaboon продемонстрировала финансово ориентированный подход, что подтверждается тем, что все вредоносные файлы содержали бухгалтерский контекст. Также специалисты отметили, что в своих атаках группа схожа с ранее известной финансово мотивированной APT-группировкой RTM.

Одной из ключевых особенностей DarkGaboon является использование кластеров серверов для обхода защиты. В начале своего пути она использовала серверы под кодовым названием «rampage», но в октябре 2024 года переключилась на новую инфраструктуру «kilimanjaro» после компрометации старой системы, произошедшей в результате попадания в фиды от ФинЦЕРТ.

Такое изменение инфраструктуры свидетельствует о том, что группировка была вынуждена адаптироваться и продолжать свою деятельность даже после компрометации. Эксперты PT ESP констатируют, что большая часть всех загрузок вредоносных образцов приходится именно на Россию, что лишний раз подтверждает целевую направленность DarkGaboon на атаки на отечественные финансовые учреждения.

Необходимость защиты от таких угроз как DarkGaboon подчеркивается тем, что в последние месяцы наблюдается практически двукратный рост обновлений Revenge RAT. Это говорит о том, что данный киберпреступный альянс не намерен останавливаться на достигнутом и продолжает активное развитие своих методов атаки.

Как прокомментировал ведущий специалист группы киберразведки PT, Виктор Казаков, регулярное обновление вредоносных сборок позволяет DarkGaboon оставаться в тени более полутора лет, успешно избегая многоуровневой защиты компаний.

В ответ на эти угрозы Positive Technologies советует использовать антивирусные продукты, песочницы, такие как PT Sandbox, и системы защиты конечных устройств. Также крайне важно обучать сотрудников безопасному обращению с электронной почтой и быть внимательными к подозрительным сообщениям. Особое внимание стоит уделить вниманию на отправителя, наличие истории переписки, а также проверке вложений с помощью лицензированных средств антивирусной защиты.

Группа Positive Technologies будет продолжать отслеживать и анализировать активность DarkGaboon, своевременно информируя потенциальные жертвы о готовящихся кибератаках.