严重性
高的
分析总结
Shuckworm APT(又名 Actinium、Armageddon、Primitive Bear、Gamaredon 和 Trident Ursa)是俄罗斯支持的高级持续威胁 (APT),至少自 2013 年以来一直在运作。众所周知,这个网络间谍组织的目标是政府、军队、和其他高价值目标,主要位于乌克兰,并与多个高级持续威胁 (APT) 活动有关。该APT的主要目标是利用恶意文档来获取对目标机器的控制权。漏洞利用文档使用模板注入技术用更多恶意软件感染受害者的计算机。当文档打开时,它会连接到黑客的服务器并下载有效负载文件。Gamaredon 的工具很简单,旨在从被黑客入侵的系统收集敏感信息并进一步传播。其信息收集工作几乎与二级 APT 相当,后者的主要目的是收集并与其单位传播信息。Gamaredon APT 组织最近的攻击利用了俄罗斯联邦政府的一份法令文件作为诱饵。7 月,该 APT 组织使用名为 GammaLoad 的 PowerShell 信息窃取恶意软件以乌克兰实体为目标。
Gamaredon APT 因其窃取目标敏感信息的能力而闻名,包括知识产权、机密文档和登录凭据。在某些情况下,该组织还被发现在很长一段时间内从其目标中窃取大量数据。
对于组织来说,了解 Gamaredon APT 构成的威胁并实施适当的安全措施来防范该组织和其他高级持续威胁非常重要。这可能包括实施强大的安全控制、定期监控网络活动是否存在妥协迹象,以及使用先进的威胁检测和响应技术。
影响
- 模板注入
- 敏感数据的暴露
妥协指标
MD5
9649d2ddb270bdab62d138fd12d0e3ee
258bf5d0cfff27e85b9c5f70082dee04SHA-256
09f3eb18044b75a4a3f8e4f03473fabf9c4200025d2a2d06eec29f1dc4e7b1d9
53ff1a9c44571e69d6b7d3f81dca4c91674ecae647693569663971efee41026fSHA-1
3789560d01ae90a2bbc6287a671a8550840c3057
13d38cfd3e1836ca5faeaf35c0b5153e5cf09d5e补救措施
- 在您各自的控制中阻止所有威胁指示器。
- 利用各自的安全控制在您的环境中搜索危害指标 (IOC)。
- 不要从未知来源下载电子邮件中附加的文档,并严格避免在来源不可靠时启用宏。
- 启用防病毒和反恶意软件软件并及时更新签名定义。使用多层保护对于保护易受攻击的资产是必要的。
- 除了网络和系统强化之外,还应在组织内部实施代码强化,以确保其网站和软件的安全。使用测试工具来检测已部署代码中的任何漏洞。
转载来源:https://www.rewterz.com/rewterz-news/rewterz-threat-alert-apt-group-gamaredon-aka-shuckworm-active-iocs-22/
图片来源网络目标可联系删除
