最新消息:本站介绍:国外VPS、云服务器,海外服务器,一手资源推荐平台

俄罗斯黑客对乌克兰组织使用新的信息窃取恶意软件

网络安全 快米云 来源:快米云 48浏览

Gamaredon 黑客在乌克兰目标上部署了新的信息窃取程序

在新的间谍活动中,俄罗斯黑客一直在使用以前看不见的信息窃取恶意软件瞄准乌克兰实体,该活动仍在进行中。

Cisco Talos 的安全研究人员将此次活动归因于俄罗斯国家支持的威胁组织 Gamaredon,该组织长期以来主要针对乌克兰政府、关键基础设施、国防、安全和执法部门的组织。

Gamaredon 也被称为 Primitive Bear、Shuckworm、IronTiden 和 Callisto,它依靠社会工程和鱼叉式网络钓鱼来建立对受害者系统的长期访问权限。

Gamaredon 工具包中的新恶意软件

该威胁组织以开发专门用于其活动的恶意软件(例如恶意脚本、信息窃取程序、后门程序)而闻名。

Cisco Talos 将新观察到的间谍活动(2022 年 8 月)归因于 Gamaredon,并注意到使用了一种新的信息窃取程序,该程序可以从受害计算机中提取特定文件类型并部署其他恶意软件。

“这是一个新的信息窃取器,Gamaredon 以前没有在其他活动中使用过。我们怀疑它可能是 Gamaredon 的“Giddome”后门家族的一个组成部分,但我们目前无法确认”- Cisco Talos

新的恶意软件有明确的说明来窃取具有以下扩展名的文件:.DOC、.DOCX、.XLS、.RTF、.ODT、.TXT、.JPG、.JPEG、.PDF、.PS1、.RAR、.邮编、.7Z 和 .MDB。 

它由一个 PowerShell 脚本提供,该脚本类似于 乌克兰 CERT最近 发布的关于今年上半年 Gamaredon 入侵的警报中描述的脚本。

Cisco Talos 表示,Gamaredon 的新信息窃取器可以从附加的存储设备(本地和远程)中窃取文件,为每个被盗文件创建一个包含元数据及其内容的 POST 请求。

带有文件元数据和内容的 POST 请求
Gamaredon 信息窃取程序通过 POST 请求
源窃取数据:Cisco Talos

在递归枚举目录中所有文件的过程中,恶意软件会避免系统文件夹只关注威胁参与者感兴趣的文件。

研究人员注意到,信息窃取者还可以从命令和控制 (C2) 服务器下载其他文件,该服务器提供有关如何处理所传递数据的说明。

如果有效负载是可执行文件(标记为“1”),则文件将写入磁盘并运行。另一种方法是 VBS 文件(标记为“2”),它也被写入磁盘并使用 Windows Script Host (wscript.Exe) 启动。

第三个选项是数据块,它被标记为“1”或“2”以外的任何其他值,并存储在 Windows 临时文件夹中。

Cisco Talos 指出,系统中存在 Gamaredon 恶意软件的迹象是在登录时运行一个名为“Windows Task”的注册表项,以及一个名为“Global\flashupdate_r”的互斥锁。

大约一个多月前,Gamaredon 的信息窃取程序已被添加到 Virus Total 数据库中,目前至少有 50 个防病毒引擎能够检测到。

来自 Gamaredon 的新信息窃取者的检测率
Gamaredon 的信息窃取器检测
来源:Cisco Talos

黑客通过带有恶意 VBS 宏的 Microsoft Office 文档的网络钓鱼电子邮件传递恶意软件。

VBS 代码隐藏在远程模板中,并在打开文档、下载带有 LNK 文件的 RAR 档案时执行。

LNK 文件和 Microsoft Office 文件都有提到俄罗斯入侵乌克兰的名称。

用于新的 Gamaredon 间谍活动的诱饵
Gamaredon 用来感染乌克兰目标的诱饵
来源:Cisco Talos

LNK 文件的目的是运行 mshta.exe 以下载和解析远程 XML,该 XML 从Gamaredon 用于过去的间谍活动的俄罗斯域 ( xsph[.]ru ) 执行恶意 PowerShell 脚本。

下载并执行另一个 PowerShell 脚本以从受害者那里收集数据(计算机名称、卷序列号、base64 编码的屏幕截图)并将其发送到远程服务器。

Gamaredon感染链
Gamaredon 感染链
来源:Cisco Talos

Cisco Talos 提供了恶意文档、LNK 文件、RAR 档案、新的信息窃取程序、URL 和负载丢弃站点的危害指标列表。

组织可以使用 IoC 保护其组织免受 Gamaredon 可能部署的间谍活动的影响。

转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 俄罗斯黑客对乌克兰组织使用新的信息窃取恶意软件