圈小蛙
俄罗斯国家资助的黑客组织Gamaredon(又名Armageddon或Shuckworm)继续以乌克兰军事和安全情报部门的关键组织为目标,采用了更新的工具集和新的感染策略。
此前,与FSB有联系的俄罗斯黑客被观察到使用信息窃取器来攻击乌克兰国家组织,使用其“Pteranodon”恶意软件的新变种,并使用默认的Word模板劫持程序来进行新的感染。
隶属于Broadcom的赛门铁克威胁研究团队今天报告说,威胁行为者最近开始使用USB恶意软件传播到受感染网络内的其他系统。
在Gamaredon最新的活动中,另一个有趣的元素是针对人力资源部门,这可能表明威胁行为者的目标是在被破坏的组织内进行鱼叉式网络钓鱼攻击。
赛门铁克的分析师报告称,Gamaredon的2023年活动在2023年2月至2023年3月期间激增,而黑客继续在一些受感染的机器上保持存在,直到2023年5月。
Gamaredon继续依靠网络钓鱼邮件进行初始入侵,而其目标包括政府、军事、安全和研究机构,重点是其人力资源部门。
网络钓鱼电子邮件带有RAR、DOCX、SFX、LNK和HTA附件,如果打开这些附件,则会启动一个PowerShell命令,从攻击者的(C2)服务器下载“Pterodo”有效载荷。
赛门铁克在2023年1月至2023年4月期间采样了25个PowerShell脚本变体,使用不同级别的混淆,并指向不同的Pterodo下载IP地址,以抵抗静态检测规则。
PowerShell将自身复制到受感染的机器上,并使用rtk.lnk扩展名创建快捷方式文件。脚本创建的LNK具有广泛的名称,有些是专门为激起受害者的兴趣而选择的,例如:
weapons_list.rtf.lnk(武器清单)
secret.rtf.lnk(秘密)
pornophoto.rtf.lnk(色情照片)
my_photos.rtf.lnk(我的照片)
login_password.docx.lnk(登录密码)
compromising_evidence.rtf.lnk(妥协证据)
instructions.rtf.lnk(说明)
account_card.rtf.lnk(账户卡)
bank_accоunt.rtf.lnk(银行账户)
一旦受害者启动这些文件,PowerShell脚本就会枚举计算机上的所有驱动器并将其自身复制到可移动USB磁盘,从而增加在被入侵网络中成功横向移动的可能性。
在今年受到Gamaredon攻击的其中一台机器中,赛门铁克的分析师发现了一个“foto.safe”文件,它是一个base64编码的PowerShell脚本。
赛门铁克表示,该设备是在一个受感染的USB钥匙插入该设备后被感染的。但是,尚不清楚USB驱动器最初是如何被感染的。
赛门铁克警告说:“这些USB驱动器很可能被攻击者用于在受害网络之间进行横向移动,并可能被用来帮助攻击者到达目标组织内的网络隔离机器。”
赛门铁克预计Gamaredon将继续专注于乌克兰,继续更新他们的工具并丰富他们的攻击策略,因为他们的目标是可能对俄罗斯军事行动有用的数据。