אנליסטים בתחום הסייבר אשר עוקבים אחר התקפות סייבר על אוקראינה, מדווחים כי פעולותיה של קבוצת ההאקרים Gamaredon הנתמכת על ידי רוסיה, ממשיכות להתמקד במתקפות סייבר נגד אוקראינה. Gamaredon (המכונה גם ארמגדון או Shuckworm) היא קבוצה של האקרים רוסים אשר ככל הנראה מהווה חלק מהמרכז ה- 18 לאבטחת מידע של ה- FSB, שירות הביטחון הפדרלי של רוסיה. קבוצה זו מכוונת מתקפות סייבר לאוקראינה מאז 2014 ונחשבת אחראית לכמה אלפי מתקפות סייבר נגד גופים ציבוריים ופרטיים מרכזיים במדינה. פעילותה נגד מטרות אוקראיניות העלתה הילוך מאז הפלישה הרוסית בפברואר 2022, שכללה התקפות דיוג, הטמעה והפעלה של נוזקות חדשות.
על פי דו"ח שפרסמה חברת סימנטק, פעילותה של Gamaredon נמשכת ללא הפסקה בחודש השישי למלחמה, כאשר גל מתקפות הסייבר האחרון התקיים בין ה- 15 ביולי ל- 8 באוגוסט. וקטור ההדבקה העדכני ביותר כולל הודעות דיוג הנושאות ארכיון 7-ZIP הכולל קובץ XML מתת-דומיין של הדומיין xsph.ru המשויך ל- Gamaredon מאז מאי 2022. קובץ ה -XML מוביל לגניבת מידע. סימנטק זיהתה מספר גרסאות ששונו מעט, ככל הנראה ניסיון להתחמק מזיהוי. בנוסף, ההאקרים הרוסים השתמשו בהורדות VBS כדי ליצור את הדלת האחורית של Pterodo, אחד מכלי הסימנים המסחריים של Gamaredon ובמקרים מסוימים, גם את הדלת האחורית של Gidome. דלתות אחוריות אלו מאפשרות ליריבים להקליט אודיו באמצעות המיקרופון של המארח, לצלם צילומי מסך משולחן העבודה, לתעד הקשות מקלדת, או להוריד ולהפעיל עומסי exe ו- dll נוספים. בנוסף, בגל המתקפות האחרון נצפו ההאקרים כשהם פורסים את כלי הפרוטוקול הלגיטימי של שולחן עבודה מרוחק Amyy Admin ו- AnyDesk. אף אחת מהטקטיקות הללו אינה חדשה, מה שמדגיש אולי את חוסר התחכום של Gamaredon, עליו מנסה לפצות קבוצת ההאקרים בהתמדה ובמיקוד מתמשך.
צוות תגובת החירום באוקראינה (CERT-UA) דיווח גם על הפעילות האחרונה של Gamaredon בשבוע שעבר לאחר שזיהה מסע דיוג חדש המסתמך על קבצי HTM מצורפים שנשלחו מחשבונות אימייל שנפרצו. קובץ זה הוא תבנית ברירת המחדל של Microsoft Word, כך שלשינוי שלו קיים פוטנציאל להשפיע על כל המסמכים שנוצרו במחשב שנפגע באמצעות נוזקה. בכך, Gamaredon משתמש בקורבנות כמקורות זיהום חדשים וגם כמקורות איכותיים, שכן נמענים לא מודעים נוטים יותר לפתוח את המסמכים המצורפים משולחים עליהם הם סומכים.
