Эксперты в области информационной безопасности зафиксировали значительное развитие тактик хакерской группировки Goffee (также известной как Paper Werewolf). Согласно исследованию Positive Technologies, злоумышленники разработали новый набор инструментов, позволяющий им оставаться незамеченными в корпоративных сетях на протяжении длительного времени.
Эволюция киберугроз: от фишинга к сложным многоэтапным атакам
Группировка Goffee ведет активную деятельность с 2022 года, специализируясь на атаках против российских организаций. В течение 2024 года специалисты по кибербезопасности проанализировали несколько инцидентов со схожими характеристиками, что позволило объединить вредоносную активность в единый кластер и точно атрибутировать ее к данной группе.
Последствия атак уже ощутимы – зафиксированы случаи полной остановки бизнес-процессов в пострадавших компаниях. Это подчеркивает серьезность угрозы и необходимость усиления защитных мер на корпоративном уровне.
Новый арсенал: технический анализ инструментария Goffee
Исследование выявило несколько ранее неизвестных инструментов, используемых на поздних стадиях атак:
Основные компоненты вредоносного арсенала
Руткит sauropsida обеспечивает глубокое проникновение в операционную систему и скрытие присутствия злоумышленников на уровне ядра. Инструменты туннелирования DQuic и BindSycler создают скрытые каналы связи, позволяя обходить сетевые средства защиты. Бэкдор MiRat предоставляет постоянный удаленный доступ к скомпрометированным системам.
Параллельно с новыми разработками группировка продолжает использовать проверенные инструменты: вредоносный модуль owowa для извлечения учетных данных пользователей и непубличный агент PowerTaskel для фреймворка Mythic.
Методы обфускации и сокрытия
Для усложнения анализа и обнаружения Goffee применяет многоуровневую систему защиты своего кода. Упаковщик Ebowla и обфускатор garbler для языка Golang затрудняют реверс-инжиниринг вредоносного ПО. Собственный алгоритм шифрования защищает как сетевой трафик, так и вредоносные файлы от обнаружения антивирусными решениями.
Инфраструктурные особенности и тактики маскировки
Анализ инфраструктуры показал предпочтение группировки к использованию регистраторов доменов Namecheap и NameSilo. Особенно примечательно активное применение российских IP-адресов и хостинг-провайдеров, включая MivoCloud, Aeza и XHost.
Данная стратегия служит двойной цели: маскировка под активность внутренних сотрудников и обход географической фильтрации трафика. Такой подход значительно осложняет обнаружение вредоносной активности традиционными средствами сетевой безопасности.
Проблема видимости угрозы
Одной из ключевых особенностей группировки Goffee является крайне низкий уровень публичной известности. В отличие от громких APT-групп, эти злоумышленники сознательно избегают привлечения внимания, концентрируясь на российском регионе и применяя изощренные методы сокрытия своей деятельности.
Современные киберугрозы требуют комплексного подхода к защите, включающего не только технические решения, но и постоянное обновление знаний о новых методах атак. Случай с группировкой Goffee наглядно демонстрирует важность проактивного мониторинга и анализа аномальной активности в корпоративных сетях. Организациям следует уделить особое внимание многоуровневой защите и регулярному аудиту безопасности для своевременного выявления подобных скрытых угроз.
