Дослідники з компанії Positive Technologies виявили значну еволюцію в тактиках хакерської групи Goffee, відомої також як Paper Werewolf. Кіберзлочинці створили новий комплекс інструментів, що дозволяє їм тривалий час залишатися непоміченими в корпоративних мережах та завдавати критичної шкоди бізнесу.
Активність та цілі кіберзлочинців Goffee
Група ведет активну діяльність з 2022 року, зосереджуючись виключно на атаках проти російських організацій. Протягом 2024 року фахівці з кібербезпеки проаналізували кілька інцидентів зі схожими характеристиками, що дозволило консолідувати зловмисну активність та точно атрибутувати її до цієї групи.
Наслідки кібератак вже мають відчутний вплив – зафіксовані випадки повної зупинки бізнес-процесів у постраждалих компаніях. Це підкреслює серйозність загрози та необхідність посилення захисних заходів на корпоративному рівні.
Технічний аналіз нового вредоносного арсеналу
Експертне дослідження виявило кілька раніше невідомих інструментів, які використовуються на пізніх стадіях атак для забезпечення стійкості та прихованості.
Ключові компоненти зловмисного інструментарію
Руткіт sauropsida забезпечує глибоке проникнення в операційну систему та приховання присутності на рівні ядра. Інструменти тунелювання DQuic та BindSycler створюють приховані канали зв’язку для обходу мережевих засобів захисту. Бекдор MiRat надає постійний віддалений доступ до скомпрометованих систем.
Паралельно з новими розробками група продовжує використовувати перевірені інструменти: зловмисний модуль owowa для витягування облікових даних користувачів та неопублічний агент PowerTaskel для фреймворку Mythic.
Методи обфускації та маскування
Для ускладнення аналізу Goffee застосовує багаторівневу систему захисту свого коду. Пакувальник Ebowla та обфускатор garbler для мови Golang ускладнюють реверс-інжиніринг зловмисного ПЗ. Власний алгоритм шифрування захищає як мережевий трафік, так і зловмисні файли від виявлення антивірусними рішеннями.
Інфраструктурні особливості та тактики маскування
Аналіз інфраструктури показав перевагу групи до використання реєстраторів доменів Namecheap та NameSilo. Особливо примітним є активне застосування російських IP-адрес та хостинг-провайдерів, включаючи MivoCloud, Aeza та XHost.
Ця стратегія служить подвійній меті: маскування під активність внутрішніх співробітників та обхід географічної фільтрації трафіку. Такий підхід значно ускладнює виявлення зловмисної активності традиційними засобами мережевої безпеки.
Проблема низької видимості загрози
Однією з ключових особливостей групи Goffee є надзвичайно низький рівень публічної відомості. На відміну від гучних APT-груп, ці кіберзлочинці свідомо уникають привернення уваги, концентруючись на російському регіоні та застосовуючи витончені методи приховання своєї діяльності.
Сучасні кіберзагрози потребують комплексного підходу до захисту, що включає не лише технічні рішення, але й постійне оновлення знань про нові методи атак. Випадок з групою Goffee наочно демонструє важливість проактивного моніторингу та аналізу аномальної активності в корпоративних мережах. Організаціям варто приділити особливу увагу багаторівневому захисту та регулярному аудиту безпеки для своєчасного виявлення подібних прихованих загроз.
