Ідентифікована частина зловмисного програмного забезпечення націленого на невстановлену компанію з розробки програмного забезпечення в Україні, серед клієнтів якої є й деякі державні установи є модифікованою версією бекдора з відкритим вихідним кодом під назвою “GoMet”.
Зловмисне програмне забезпечення “GoMet” написано мовою програмування Go та містить усі необхідні функції, необхідні для віддаленого керування агентом, який можна розгорнути на різних операційних системах або архітектурах процесорів. Вперше зловмисне програмне забезпечення було виявлено 28 березня 2022 року.
Аналітики вважають, що дана кіберкампанія організована суб’єктами, які фінансуються Росією, або тими, хто діє в її інтересах, а намір загрози полягає у тому, щоб отримати доступ до джерела атаки в стилі ланцюжка поставок.
Значною модифікацією цієї версії “GoMet” є те, що вона агресивно перевіряє підключення до свого командного та контрольного сервера (C2), виконуючи перевірку кожні 2 секунди (якщо буде встановлено, що сервер недоступний, повториться спроба через випадковий інтервал від 5 до 10 хвилин).
Шкідлива активність, включає підроблені заплановані завдання оновлення Windows. Крім того, загрозливий суб’єкт вжив активних заходів та новий підхід до стійкості, щоб запобігти виявленню своїх інструментів. Замість того, щоб створити новий файл автозапуску, програмне забезпечення замінює один із наявних легітимних виконуваних файлів автозапуску шкідливим, що потенційно допомагає уникнути виявлення.
Обидва зразки зловмисного програмного забезпечення мають жорстко закодовану IP-адресу серверу (C2): 111.90.139.122, самопідписаний сертифікат на якому було сформовано ще 4 ківтня 2021 року, що вказує на те, що підготовка до цієї кіберампанії розпочалася заздалегідь.
Цей доступ можна використовувати різними способами, включаючи глибший доступ або запуск додаткових атак, включно з можливістю компрометації ланцюга постачання програмного забезпечення.
Аналітики очікують продовження розгортання спонсорованими Росією злочинними кіберугрупованнями низки засобів, спрямованих проти України та її партнерів, щоб отримати додаткові важелі впливу в ході ведення війни.