Эксперты Positive Technologies обнаружили новую APT-группировку, названную DarkGaboon, которая нацелена на финансовые подразделения российских компаний. Согласно информации, атакующая группа действовала незамеченной больше года, начиная с мая 2023 года, используя вредоносное ПО Revenge RAT. Злоумышленники загружают файлы с поддельными финансовыми документами, добытыми с легитимных российских ресурсов, чтобы обманным путем получить доступ к системам финансовых организаций.
В середине октября 2024 года специалисты PT Expert Security Center зафиксировали активную рассылку Revenge RAT в одном из российских банков. Атака началась с зашифрованного электронного письма, содержащее грамотно составленный текст на русском языке, с прикрепленным архивом. Использование вредоносного ПО в сочетании с бухгалтерскими шаблонами указывает на основную цель группировки: извлечение финансовой выгоды.
Специалисты PT ESC провели анализ и установили, что данная активность наблюдается как минимум с мая 2023 года, причем ранее использования серверного кластера “rampage”, а затем, начиная с октября 2024 года, “kilimanjaro”. Группировка долго оставалась незамеченной, но в августе 2024 года их инфраструктура была под угрозой после получения индикаторов компрометации от ФинЦЕРТ, что заставило злоумышленников менять свои серверы.
Целью DarkGaboon продолжают оставаться финансовые учреждения и компании различных отраслей. Экспертами было установлено, что почти половина всех загрузок вредоносных образцов происходит именно из России. Злоумышленники также применяют поддельные сертификаты Х.509, что указывает на хорошую осведомленность о российском рынке и его специфике. К числу пострадавших от атак относятся банки, крупные торговые сети и компании в секторах услуг и туризма.
Виктор Казаков, ведущий специалист киберразведки PT ESC, отметил, что “DarkGaboon” регулярно обновляет свои наборы файлов, выпускает около десяти новых вредоносных экземпляров каждый месяц, что позволяет ей оставаться непойманной в течение долгого времени. Данные показывают, что с марта 2024 года группы начали чаще обновлять свое ПО — почти в два раза увеличив количество ежемесячных обновлений по сравнению с предыдущим годом.
Чтобы минимизировать риски кибератак, организациям рекомендуется использовать системы антивирусной защиты, песочницы и обучать сотрудников методам безопасности при работе с электронными письмами. Нужно быть внимательными к непроверенным отправителям, отсутствию истории переписки и акценту на срочности изучения документов. Специалисты Positive Technologies продолжат внимательно следить за активностью DarkGaboon и предупреждать организации об угрозах.