与俄罗斯有关联的 Gamaredon APT 组织使用名为 GammaLoad 的 PowerShell 信息窃取恶意软件针对乌克兰实体。
赛门铁克警告说,与俄罗斯有关的Gamaredon APT 组织(又名Shuckworm、Actinium、 Armageddon、Primitive Bear和 Trident Ursa)使用名为 GammaLoad 的 PowerShell 信息窃取恶意软件攻击乌克兰实体。
乌克兰计算机应急响应小组 (CERT-UA)证实了正在进行的网络间谍活动。
赛门铁克和趋势科技于2015年首次发现了 Gamaredon 组织,但其活动的证据可以追溯到 2013 年。该组织的目标是乌克兰的政府和军事组织。
最近的一波攻击始于7月15日,并持续到2022 年8月8日。
攻击链从使用自解压 7-Zip 文件的鱼叉式网络钓鱼消息开始,该文件是通过系统的默认浏览器下载的。然后 mshta.exe 下载了一个 XML 文件,该文件可能伪装成 HTML 应用程序 (HTA) 文件。
“将 XML 文件下载到受害者网络之后,执行了 PowerShell 窃取程序。我们看到同一个 PowerShell 窃取程序的三个版本出现在一个系统上。” 阅读赛门铁克发布的分析。“攻击者可能已经部署了多个版本的窃取器,它们都非常相似,以试图逃避检测。”
自 2022年5月以来,这些文件托管在一个已知与 Shuckworm 活动相关的子域上。攻击者部署的最终有效载荷是一个名为 GammaLoad.PS1_v2的 PowerShell 窃取恶意软件。
在某些情况下,攻击者还提供了两个名为 Giddome 和Pterodo的后门,它们被称为 Gamaredon 武器库的一部分。
Pterodo 是一个多级 Visual Basic Script (VBS) 后门,旨在收集敏感信息或保持对受感染机器的访问。它是在鱼叉式网络钓鱼活动中分发的,其中包含似乎旨在引诱军事人员的武器化办公室文件。
Giddome 后门支持多种功能,包括录制音频、截屏、记录击键以及下载和执行任意可执行文件到受感染主机上。
威胁者还使用合法的远程桌面协议 (RDP) 工具 Ammyy Admin 和 AnyDesk 进行远程访问
“随着俄罗斯对乌克兰的入侵接近六个月,Shuckworm 对该国的长期关注似乎有增无减。即使在 CERT-UA 记录后,最近的活动仍在继续,这表明对暴露的恐惧并没有阻止该组织的活动。” 报告结束。“虽然 Shuckworm 不一定是战术上最复杂的间谍组织,但它通过专注和坚持不懈地针对乌克兰组织来弥补这一点。”
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 与俄罗斯有关的Gamaredon APT继续以乌克兰为目标
