监控乌克兰网络攻击的威胁分析人士报告称,臭名昭著的俄罗斯国家支持的黑客组织“Gamaredon”的行动继续以这个饱受战争蹂躏的国家为目标。
Gamaredon(又名 Armageddon 或 Shuckworm)是一组俄罗斯黑客,据信是 俄罗斯联邦安全局FSB第 18 信息安全中心的一部分。
自 2014 年以来,该特定威胁组织一直以乌克兰为目标,并被认为对该国关键公共和私人实体的数千次袭击负责
自 2022 年 2 月俄罗斯入侵以来, 其针对乌克兰目标的活动 有所升级,包括网络钓鱼攻击 和 新型恶意软件变种的部署。
持续、长期的运营
根据Broadcom Software 的一个部门赛门铁克今天发布的一份报告,Gamaredon 的活动在战争的第 6 个月继续有增无减,最近一波攻击发生在 2022 年 7 月 15 日至 8 月 8 日之间。
最近的感染媒介涉及带有自解压 7-Zip 存档的网络钓鱼邮件,该存档从 2022 年 5 月以来与 Gamaredon 关联的“xsph.ru”子域获取 XML 文件。
XML 文件会导致执行 PowerShell 信息窃取程序,赛门铁克在其中发现了几个略微修改的变体,很可能是为了逃避检测。
此外,俄罗斯黑客使用 VBS 下载器来获取 Pterodo 后门,这是 Gamaredon 的商标工具之一,在某些情况下,还获取了 Giddome 后门。
这些后门允许攻击者使用主机的麦克风录制音频、从桌面截取屏幕截图、记录和泄露击键,或者下载并执行额外的“.exe”和“.dll”有效负载。
最后,在最近的活动中,观察到黑客部署了合法的远程桌面协议工具“Ammyy Admin”和“AnyDesk”。
这些策略都不是新的,突出了 Gamaredon 缺乏复杂性,而威胁组织通过持久性和持续瞄准来弥补。
作为感染点的受损系统
乌克兰的计算机应急响应小组 (CERT-UA)上周也报告了最近的 Gamaredon 活动,此前他们发现了一个新的网络钓鱼活动,该活动依赖于从受感染的电子邮件帐户发送的 HTM 附件。
CERT-UA 对感染链的观察还报告了 PowerShell 信息窃取者试图窃取存储在 Web 浏览器上的数据。
乌克兰网络安全机构发现的一个有趣策略是 Gamaredon 尝试使用特制宏修改主机上的“Normal.dotm”文件。
主机的 Normal.dotm 文件(CERT-UA)上的远程模板注入
此文件是默认的 Microsoft Word 模板,因此对其进行修改可能会使在受感染计算机上创建的所有文档都带有恶意代码。
通过这样做,Gamaredon 将受害者作为新的感染源和高质量的感染源,因为不知情的收件人更有可能打开他们信任的发件人的文件。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 俄罗斯黑客使用默认的 Word 模板劫持者瞄准乌克兰
