分析总结
Shuckworm APT(又名 Actinium、Armageddon、Primitive Bear、Gamaredon 和 Trident Ursa)是俄罗斯支持的高级持续威胁 (APT),至少自 2013 年以来一直在运作。众所周知,该网络间谍组织的目标是政府、军队、和其他高价值目标,主要位于乌克兰,并与多个高级持续威胁 (APT) 活动有关。该APT的主要目标是利用恶意文档来获取对目标机器的控制权。漏洞利用文档使用模板注入技术用更多恶意软件感染受害者的计算机。当文档打开时,它会连接到黑客的服务器并下载有效负载文件。Gamaredon 的工具很简单,旨在从被黑客入侵的系统收集敏感信息并进一步传播。其信息收集工作几乎与二级 APT 相当,后者的主要目的是收集并与其部队传播信息。Gamaredon APT 组织最近的攻击利用了俄罗斯联邦政府的一份法令文件作为诱饵。7 月,该 APT 组织使用名为 GammaLoad 的 PowerShell 信息窃取恶意软件以乌克兰实体为目标。
Gamaredon APT 因其窃取目标敏感信息的能力而闻名,包括知识产权、机密文档和登录凭据。在某些情况下,该组织还被发现在很长一段时间内从其目标中窃取大量数据。
对于组织来说,了解 Gamaredon APT 构成的威胁并实施适当的安全措施来防范该组织和其他高级持续威胁非常重要。这可能包括实施强大的安全控制、定期监控网络活动是否存在妥协迹象,以及使用先进的威胁检测和响应技术。
影响
模板注入
敏感数据的暴露
妥协指标
域名
Softcillection.comMD5
532ac56ab8f092caf5fe714956dd3d2cSHA-256
fbb6d99412b83621dc8f5293d42ebc75546d9144cab5f43fddc40d3f0c61daacSHA-1
9d0b6245900a141d75fa19ab063ab6e874035d92补救措施
1、在您各自的控制中阻止所有威胁指示器。
2、利用各自的安全控制在您的环境中搜索危害指标 (IOC)
3、不要从未知来源下载电子邮件中附加的文档,并严格避免在来源不可靠时启用宏。
4、启用防病毒和反恶意软件软件并及时更新签名定义。使用多层保护对于保护易受攻击的资产是必要的
5、除了网络和系统强化之外,还应在组织内部实施代码强化,以确保其网站和软件的安全。使用测试工具来检测已部署代码中的任何漏洞。
转载来源:https://www.rewterz.com/threat-advisory/rewterz-threat-alert-apt-group-gamaredon-aka-shuckworm-active-iocs-18/
图片来源网络侵权可联系删除
