ESET Research a publié une analyse détaillée des opérations de cyberespionnage menées par le groupe Gamaredon en 2024, ciblant exclusivement les institutions gouvernementales ukrainiennes. Cette analyse met en lumière l’évolution des outils et des techniques utilisées par ce groupe aligné sur les intérêts géopolitiques russes.
Gamaredon a intensifié ses campagnes de spearphishing en 2024, en augmentant l’échelle et la fréquence des attaques. Ils ont utilisé de nouvelles méthodes de livraison, telles que des hyperliens malveillants et des fichiers LNK exécutant des commandes PowerShell à partir de domaines hébergés par Cloudflare. Six nouveaux outils malveillants ont été introduits, axés sur la furtivité, la persistance et le mouvement latéral.
Les outils existants de Gamaredon ont reçu des mises à jour majeures, incluant des techniques d’obfuscation améliorées et des méthodes sophistiquées pour le mouvement latéral et l’exfiltration de données. Le groupe a également caché presque toute son infrastructure de commande et de contrôle derrière des tunnels Cloudflare, et a utilisé des services tiers comme Telegram et Dropbox pour protéger ses opérations.
Cet article de recherche vise à fournir une compréhension approfondie des capacités et des tactiques de Gamaredon, soulignant l’importance de rester vigilant face à cette menace persistante dans le contexte de la guerre en cours entre la Russie et l’Ukraine.
🧠 TTP et IOC détecté
TTP
Spearphishing, Malicious hyperlinks, LNK files executing PowerShell, Obfuscation techniques, Lateral movement, Data exfiltration, Use of Cloudflare for C2 hiding, Use of third-party services like Telegram and Dropbox
IOC
Domains hosted by Cloudflare
🔗 Source originale : https://www.welivesecurity.com/en/eset-research/gamaredon-2024-cranking-out-spearphishing-campaigns-ukraine-evolved-toolset/