В январе текущего года группа киберразведки TI‑департамента PT ESC разоблачила ранее неизвестную финансово мотивированную APT‑группировку DarkGaboon, кибератаки которой в отношении российских компаний удалось отследить до весны 2023 года. Изучению подверглись эволюция вредоносного арсенала, миграция инфраструктуры и TTP группировки, но для полного восстановления kill chain не хватало инструментов и техник конечного импакта.
Однако уже весной этого года сбылись прогнозы PT ESC о сохранении активности и наступательности со стороны DarkGaboon, а недостающие элементы пазла были обнаружены департаментом комплексного реагирования на киберугрозы в ходе расследования инцидентов в инфраструктуре российских компаний. Ими оказались сетевой сканер обнаружения доступных сетевых шар N.S. и шифровальщик LockBit.
Kill chain, TTP, инструменты
В качестве вектора проникновения группировка продолжает использовать email‑рассылку c текстом на русском языке с таргетом на сотрудников финансовых подразделений и акцентом на срочности изучения документов во вложении. Прилагаемые к письмам архивы содержат документы‑приманки RTF и.scr‑файлы, являющиеся обфусцированными Themida и.NET Reactor PE билдами RAT‑троянов Revenge и XWorm, использующими названия‑омоглифы, изображение PDF‑документа и невалидные Х.509-сертификаты, якобы выпущенные на имя российских компаний либо имеющие бухгалтерский подтекст.
Обнаруженные экземпляры документов‑приманок RTF, используемые DarkGaboon в текущих кибератаках, загружены группировкой с легитимных ресурсов с шаблонами финансовых документов и стабильно используются с 2023 года.
Проникнув в атакуемую сеть и закрепившись с использованием RAT‑троянов, DarkGaboon проводит горизонтальную разведку узлов внутренней сети, доступных с зараженного хоста. Упакованный с использованием UPX дроппер расшифровывает с помощью алгоритма AES‑ECB (ключ шифрования — MD5-хеш строки «oKuQzNc8L6QcYdrA5»), извлекает и запускает на зараженном хосте два инструмента:
NS.exe: сетевой сканер N.S., обнаруживает и монтирует доступные сетевые шары;
1.exe: командой cleanmgr /sagerun:1 запускает утилиту очистки жесткого диска от временных файлов.
Используемый DarkGaboon экземпляр сетевого сканера N.S. скомпилирован в сентябре 2018 года, а в феврале 2019 года впервые замечен в реальной кибератаке. В настоящее время используется в арсенале многих киберпреступных группировок.
Завершив монтирование доступных сетевых шар, DarkGaboon зашифровывает LockBit-ом доступные файлы и оставляет записку с инструкцией на русском языке по их расшифровке, в которой в качестве контактов указаны два адреса электронной почты. Следы предварительной эксфильтрации зашифрованных данных на инцидентах не выявлены.
Используемая DarkGaboon версия шифровальщика LockBit 3.0 (LockBit Black) в 2022 году попала в открытый доступ и в настоящее время используется многими группировками.
В завершение кибератаки DarkGaboon зачищает цифровые следы, демаскирующие управляющую инфраструктуру, путем запуска BAT‑файла, который удаляет RAT‑троян с сессией удаленного подключения к зараженному хосту и самого себя.
Сетевая инфраструктура
В отличие от предыдущих кибератак, в которых DarkGaboon для рассылки вредоносных писем использовала ранее скомпрометированные email, в рамках текущей киберкампании рассылка вредоносных писем осуществляется с расположенного в России SMTP‑сервера с PHPMailer и 53 делегированных ему доменов в российской доменной зоне.ru, часть из которых была зарегистрирована еще в августе 2024 года.
Инфраструктура для управления RAT‑сессиями на зараженных хостах претерпела незначительные изменения: DarkGaboon продолжает использовать группы доменов Dynamic DNS, в том числе созвучные с африканским гигантом Килиманджаро, и виртуальный Windows‑хост с RDP‑подключением, как и прежде арендованный в сетях американского провайдера хостинга Nybula LLC, однако на этот раз также получивший африканскую прописку на Сейшельских островах.
Указанный в инструкции домен room155[.]online не является публичным сервисом и, вероятнее всего, принадлежит группировке. Домен и соответствующий ему TLS‑сертификат впервые были зарегистрированы в марте 2023 года, что совпадает с периодом начала активности DarkGaboon. Сервер, указанный в DNS‑записях домена, является проксирующим: ему одномоментно делегированы порядка 500 доменных имен, на 53-м сетевом порте функционирует программное обеспечение PowerDNS, а сам домен неоднократно менял записи DNS (A), первая из которых относилась к серверу в сети украинского провайдера хостинга. Анализ DNS‑записей позволил обнаружить активные субдомены, связанные с веб‑интерфейсом электронной почты и хранилищем WebDav.
Артефакты
Адреса электронной почты, указанные в обнаруженных на инцидентах записках, ранее фигурировали в кибератаках с использованием шифровальщика LockBit на финансовые подразделения российских компаний в марте — апреле 2023 года, что так же, как и период регистрации домена и TLS ‑сертификатов, совпадает с периодом начала активности DarkGaboon. Текст записок 2025 года в целом схож с текстом записок 2023 года, однако был убран TOX‑идентификатор злоумышленников и добавлен комментарий о нежелательности использования для коммуникации российских почтовых сервисов, Gmail и Proton.
Заключение
В целом DarkGaboon продолжает придерживаться тактики использования опенсорс‑решений: RAT‑троянов Revenge, XWorm, шифровальщика LockBit и сетевого сканера N.S. — что позволяет группировке затеряться на общем фоне многочисленных кибератак с использованием этих инструментов.
Однако артефакты, обнаруженные в рамках киберразведки и реагирования на инциденты, позволили PT ESC связать DarkGaboon с целой серией кибератак 2023–2025 годов на российские компании с использованием шифровальщика LockBit, целью которых является извлечение финансовой выгоды путем шифрования компьютерной информации компаний и вымогательства денежных средств за ее расшифровку.
При этом DarkGaboon не является клиентом RaaS‑сервиса LockBit и действует самостоятельно, на что указывают такие факты, как использование попавшей в открытый доступ версии шифровальщика LockBit, отсутствие в атакованных компаниях следов эксфильтрации данных и традиционных угроз опубликовать украденную информацию на DLS‑портале.
PT ESC, как и ранее, прогнозирует сохранение высокой активности APT‑группировки DarkGaboon в отношении российских компаний, продолжит отслеживать ее активность и своевременно предупреждать жертв о готовящихся кибератаках.
Индикаторы компрометации
Архивы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‑трояны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Дроппер
7ebf9a48fc1ee251c6be9a21e008b7f16d32de17d80cf97ca0fda8b9199fe0b7
Сетевой сканер N.S.
f47e3555461472f23ab4766e4d5b6f6fd260e335a6abc31b860e569a720a5446
BAT‑файл
5cfcfecf6639a99bdbadbf083129ae81f6fa33bfbeb1c3152e161d6d8fd12b70
C2-инфраструктура управления RAT-троянами
196.251.66.118
myhost.servepics.com
myhost.misecure.com
kilimanjaro.theworkpc.com
Инфраструктура, используемая для рассылки вредоносных эл. писем
185.185.70.85
xa-it.ru
it-loms.ru
in-lits.ru
ri-lil.ru
ji-la.ru
it-pips.ru
ji-gops.ru
ut-li.ru
bn-ki.ru
bl-xp.ru
bm-si.ru
bs-ku.ru
nefgi.ru
bj-ki.ru
gd-rl.ru
gc-li.ru
zi-gile.ru
be-blo.ru
x2y4z6a8-b9c0.ru
m5n7o1p3-q4r2.ru
b8c1d4e9-f2g3.ru
u6v9w2x3-y4z7.ru
q9r2s8t1-u4v5.ru
h3i6j0k4-l7m8.ru
t4u5v6w9-x0y1.ru
l9m2n5o3-p4q6.ru
p1q7r8s2-t3u9.ru
n9o2p0q1-r1z4.ru
k1j9p4-t5q3.ru
h4j3k2-a8nips7.ru
b9c1d6-x0yol4.ru
t9u2w3-v5xex1.ru
c3d7e0-l2mis5.ru
y1z4x7-t8bxt2.ru
c6d2e9f4-g3hxas7.ru
v7w4x1y3-z2axl9.ru
d6e3fiz7-h4ti1.ru
x9y5z1-u2t3bn3.ru
j8k9lxds4-p1q6.ru
a4b7c3-f0gl1iz9.ru
l9o2m6-k1siv2j8.ru
s7t1v3-w4sanx9.ru
m6o7l2-w3von8.ru
h6i1g9-d3z1ze8.ru
g7f3h2-p9qua16.ru
reisebuero-ed50765elmann.ru
l7f9v2-n1m4p3.ru
t9u4g7k8d2y8v6-w1x3g92.ru
y8z6x4-a1b6g1o62.ru
r2s5t1-x8y6.ru
t0u5v3-w5jk27zn79x8.ru
m2o9l8-k3jk6v3ol51s4.ru
z8y3g8h9b5n4-a9m5x1r2n.ru
Виктор Казаков
Ведущий специалист группы киберразведки PT ESC Threat Intelligence