Check Point 研究人员观察到,Gamaredonh黑客组织在针对乌克兰的攻击中通过 USB 传播名为 LitterDrifter 的蠕虫病毒。
Gamaredon(又名 Shuckworm、Actinium、Armageddon、Primitive Bear、UAC-0010 和 Trident Ursa)自 2014 年以来一直活跃,其活动重点在乌克兰,该组织使用多级后门Pteranodon / Pterodo进行观察 。
Gamaredon APT 组织 持续对乌克兰境内的 实体进行攻击,包括安全部门、军队和政府组织。
自俄乌问题爆发以来,该网络间谍组织已针对乌克兰目标开展了多次活动。CERT-UA 监控了 Gamaredon 的行动,并能够收集有关 APT 战术、技术和程序 (TTP) 的情报。
Check Point 表示,Gamaredon 组织通常会开展大规模活动,然后进行情报收集活动。在最新的攻击中,该组织使用了 USB 传播蠕虫 LitterDrifter。
LitterDrifter蠕虫病毒是用VBS编写的,它支持两个主要功能:自动USB传播和与广泛、灵活的C2集通信。
“这些功能的实施方式符合该组织的目标,有效地维持了跨广泛目标的持久指挥和控制(C2)通道。” 阅读CheckPoint 发布的分析。“LitterDrifter 似乎是先前报道的 将 Gamaredon 组织与正在传播的 USB Powershell 蠕虫联系在一起的活动的演变 。”
这两个功能在保存到磁盘的“trash.dll”编排组件中实现,该组件实际上是一个 VBS 脚本而不是 DLL。
运行编排组件后,它会解码并运行其他模块,并在受感染的系统上保持持久性。
提取的两个模块:
1. Spreader 模块允许恶意软件在系统内传播,并可能通过优先感染 mediatype=NULL 的逻辑磁盘(通常与 USB 可移动介质相关)来针对其他环境。
2. C2 模块与攻击者 C&C 服务器建立通信并执行传入的有效负载。该组件通过生成内置 C2 服务器的随机子域来检索 C2 服务器的 IP 地址。它还通过从 Telegram 频道检索 C2 服务器的 IP 地址来维护备份选项。
“Gamaredon 的 C&C 方法相当独特,因为它利用域名作为实际用作 C2 服务器的循环 IP 地址的占位符。” 报告继续。“在尝试联系 C2 服务器之前,该脚本会检查 %TEMP% 文件夹中是否存在硬编码在恶意软件中的无意义名称的现有 C2 配置文件。此机制充当恶意软件的自检功能,验证它是否已经感染了计算机。如果存在,当前执行可能只是由持久性机制触发的计划执行。”
威胁参与者严重混淆了编排组件,它是由一系列具有字符替换混淆的字符串构成的。
Check Point 研究人员报告称,美国、越南、智利、波兰、德国和香港也可能出现感染。
“LitterDrifter 不依赖于突破性技术,可能看起来是一种相对简单的恶意软件。然而,这种简单性也符合其目标,反映了 Gamaredon 的整体方法。” 该报告总结道,其中还包括妥协指标。“这一方法已证明相当有效,该组织在乌克兰的持续活动就证明了这一点。”
6 月,赛门铁克研究人员报告称,在某些情况下, 网络间谍组织 在目标网络中长达三个月仍未被发现。
大多数攻击开始于 2023 年 2 月/3 月,直到 5 月才在目标网络中发现威胁行为者。在一些攻击中,威胁行为者成功侵入了受害者的人力资源部门,试图收集有关各个组织人员的情报。
威胁行为者专注于窃取敏感信息,例如有关乌克兰军人死亡、敌方交战和空袭、军火库库存、军事训练等的报告。
赛门铁克指出,该组织多次刷新其工具集以避免被发现,研究人员发现了已知工具的新版本,并观察到该组织使用了短暂的基础设施。
发表评论
您还未登录,请先登录。
登录