乌克兰计算机紧急响应小组 (CERT-UA) 警告称,Gamaredon 黑客攻击会进行快速攻击,在一小时内从被破坏的系统中窃取数据。Gamaredon,又名 Armgeddon、UAC-0010 和 Shuckworm,是一个 俄罗斯国家资助的 网络间谍黑客组织,其网络安全研究人员将其与 FSB(俄罗斯联邦安全局)联系起来,其成员是叛逃到俄罗斯的前 SSU 军官2014年。自俄罗斯入侵开始以来,据信威胁行为者对乌克兰政府和其他重要公共和私人组织进行了数千次攻击。这些攻击的数据积累使 CERT-UA 能够概述该组织的攻击,并共享这些数据以帮助防御者检测和阻止网络渗透尝试。
加马雷顿攻击特性
Gamaredon 攻击通常从通过 Telegram、WhatsApp、Signal 或其他 IM 应用程序发送到目标的电子邮件或消息开始。
最初的感染是通过欺骗受害者打开 恶意附件 (例如伪装成 Microsoft Word 或 Excel 文档的 HTM、HTA 和 LNK 文件)来实现的。
一旦受害者启动恶意附件,PowerShell 脚本和 恶意软件 (通常是“GammaSteel”)就会被下载并在受害者的设备上执行。
初始感染步骤还会 修改 Microsoft Office Word 模板 ,以便在受感染计算机上创建的所有文档都带有恶意宏,可以将 Gamaredon 的恶意软件传播到其他系统。
PowerShell 脚本以包含会话数据的浏览器 cookie 为目标,使黑客能够接管受两因素身份验证保护的在线帐户。
关于 GammaSteel 的功能,CERT-UA 表示它针对具有指定扩展名列表的文件,这些扩展名是:.doc、.docx、.xls、.xlsx、.rtf、.odt、.txt、.jpg、.jpeg、.pdf、 .ps1、.rar、.zip、.7z、.mdb。
如果攻击者对被入侵计算机上发现的文档感兴趣,他们会在 30 到 50 分钟内泄露这些文档。
Gamaredon 感染的另一个有趣的方面是,威胁行为者每周在受感染的系统上植入多达 120 个恶意受感染文件,以增加再次感染的可能性。
“如果在杀毒过程中,清理操作系统注册表、删除文件、计划任务等后,计算机上至少残留有一个受感染的文件或文档(很多时候用户重新安装操作系统,并在没有检查的情况下转移“必要”的文件) ),那么计算机很可能会再次被感染。” CERT-UA解释 (机器翻译)。
插入受感染计算机端口的任何 USB 记忆棒也将自动被 Gamaredon 的初始危害有效负载感染,从而可能进一步扩大对孤立网络的破坏。
最后,黑客每天更改中间受害者命令和控制服务器的 IP 地址三到六次,使防御者更难阻止或跟踪他们的活动。
目前,CERT-UA 表示,限制 Gamaredon 攻击有效性的最佳方法是阻止或限制 mshta.exe、wscript.exe、cscript.exe 和 powershell.exe 的未经授权执行。