GamaCopy è un nuovo attore di minacce che sta emergendo nel panorama della cyber espionage, imitando le tattiche del noto gruppo di hacker Gamaredon, allineato con il Cremlino. Questo gruppo ha iniziato a prendere di mira entità di lingua russa, utilizzando tecniche simili a quelle impiegate da Gamaredon. Le campagne di GamaCopy sono state attribuite a un cluster di minacce che condivide sovrapposizioni con un altro gruppo di hacker noto come Core Werewolf, riconosciuto anche come Awaken Likho e PseudoGamaredon.

Attacchi e Tecniche

Secondo il team di Advanced Threat Intelligence di Knownsec 404, gli attacchi sfruttano contenuti legati a strutture militari come esche per distribuire UltraVNC, consentendo agli attori di minaccia di accedere da remoto ai computer compromessi. Queste attività sembrano imitare le tattiche, tecniche e procedure (TTP) del gruppo Gamaredon, noto per i suoi attacchi contro l'Ucraina.

La rivelazione di queste attività giunge circa quattro mesi dopo che Kaspersky ha rivelato che le agenzie governative russe e le entità industriali sono state bersaglio di Core Werewolf. Questi attacchi di spear-phishing hanno aperto la strada all'uso della piattaforma MeshCentral invece di UltraVNC. Il punto di partenza della catena di attacco riflette quello dettagliato dalla società di sicurezza informatica russa, in cui un file di archivio autoestraente (SFX) creato con 7-Zip agisce come condotto per distribuire payload di fase successiva.

Tecniche di Evasione

L'eseguibile UltraVNC viene rinominato "OneDrivers.exe" per eludere il rilevamento, facendolo passare per un file binario associato a Microsoft OneDrive. Knownsec 404 ha affermato che l'attività condivide diverse somiglianze con le campagne di Core Werewolf, tra cui l'uso di file 7z-SFX per installare ed eseguire UltraVNC, l'uso della porta 443 per connettersi al server e l'utilizzo del comando EnableDelayedExpansion.

Minacce Correlate

GamaCopy è uno dei molti attori di minacce che hanno preso di mira le organizzazioni russe a seguito del conflitto russo-ucraino, come Sticky Werewolf (noto anche come PhaseShifters), Venture Wolf e Paper Werewolf. Questi gruppi si distinguono per le loro campagne di phishing incessanti finalizzate al furto di dati. In particolare, PhaseShifters, PseudoGamaredon e Fluffy Wolf continuano a rappresentare una minaccia significativa con i loro attacchi sofisticati e mirati.