俄罗斯国家支持的黑客继续用窃取信息的恶意软件打击乌克兰实体,这被怀疑是间谍行动的一部分。
Broadcom Software旗下公司Symantec将这场恶意活动归因于跟踪Shuckworm的黑客,也称为Actinium、Armageddon、Gamaredon、Primitive Bear和Trident Ursa。乌克兰计算机应急小组(CERT-UA)证实了这些发现。
该黑客自2013年以来一直活跃,因明确针对乌克兰的公共和私人实体而闻名。自2022年末俄罗斯军事入侵以来,攻击事件不断升级。
据说,最新的一系列攻击已于2022年7月15日开始,一直持续到8月8日,感染链利用伪装成通讯和战斗命令的 络钓鱼电子邮件,最终部署了名为GammaLoad.PS1_v2的PowerShell窃取者恶意软件。
同时,还向受损机器交付了两个后门,分别名为Giddome和Pterodo,这两个后门都是典型的Shuckworm工具,攻击者不断重新开发,旨在领先检测标准。
Pterodo的核心是一种Visual Basic Script(VBS)dropper恶意软件,具有执行PowerShell脚本、使用计划任务(shtasks.exe)来保持持久性,以及从命令和控制服务器下载其他代码的功能。
另一方面,Giddome植入物具有多种功能,包括录制音频、捕获屏幕截图、记录击键,以及在受感染主机上检索和执行任意可执行文件。
这些入侵行为通过从受感染账户分发的电子邮件发生,进一步利用Ammyy Admin和AnyDesk等合法软件来促进远程访问。
这一发现是因为Gamaredon黑客与一系列旨在启动GammaLoad.PS1交付链的 会工程攻击有关,使攻击者能够窃取存储在Web浏览器中的文件和凭据。
调查结果是在CERT-UA发出警 后公布的,该警 警告称,“系统性、大规模和地理分散的” 络钓鱼攻击涉及使用名为RelicRace的.NET下载程序来执行Formbook和Snake Keylogger等有效负载。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!