今年早些時(shí)候,在持續(xù)的俄烏戰(zhàn)爭中���,與俄羅斯有聯(lián)系的 Gamaredon 集團(tuán)試圖侵入北約成員國的一家大型石油精煉公司��,但未獲成功�����。這次攻擊發(fā)生在 2022 年 8 月 30 日���,是俄羅斯聯(lián)邦安全局 ( FSB ) 的高級(jí)持續(xù)威脅 (APT) 精心策劃的多次攻擊之一。
Gamaredon其過往攻擊主要是追蹤烏克蘭實(shí)體����,并在較小程度上追蹤北約盟國以獲取敏感數(shù)據(jù)。
隨著地面和網(wǎng)絡(luò)空間的沖突持續(xù)���,Trident Ursa 一直作為專門的訪問創(chuàng)建者和情報(bào)收集者��,Palo Alto Networks Unit 42在與黑客新聞分享的一份報(bào)告中表示��。“Trident Ursa 仍然是針對(duì)烏克蘭的最普遍��、侵入性���、持續(xù)活躍和集中的 APT 之一�����。
Unit 42 對(duì)該組織活動(dòng)的持續(xù)監(jiān)控發(fā)現(xiàn)了 500 多個(gè)新域��、200 個(gè)惡意軟件樣本�����,并在過去 10 個(gè)月中多次改變其策略以應(yīng)對(duì)不斷變化和擴(kuò)大的優(yōu)先事項(xiàng)��。
除了網(wǎng)絡(luò)攻擊之外��,更大的安全社區(qū)據(jù)說還收到了據(jù)稱是 Gamaredon 同伙的威脅推文���。
其他值得注意的方法包括使用 Telegram 頁面查找命令和控制 (C2) 服務(wù)器,以及使用快速通量 DNS在短時(shí)間內(nèi)輪換多個(gè) IP 地址�����,從而使基于 IP 的黑名單和刪除工作變得更加困難。
攻擊本身需要交付嵌入魚叉式網(wǎng)絡(luò)釣魚電子郵件中的武器化附件��,以在受感染主機(jī)上部署 VBScript 后門����,該后門能夠建立持久性并執(zhí)行 C2 服務(wù)器提供的額外 VBScript 代碼��。
同時(shí) Gamaredon 感染鏈利用地理封鎖將攻擊限制在特定位置�����,并利用釋放器可執(zhí)行文件啟動(dòng)下一階段的 VBScript 有效載荷���,隨后連接到 C2 服務(wù)器以執(zhí)行進(jìn)一步的命令�。地理封鎖機(jī)制起到了安全盲點(diǎn)的作用��,因?yàn)樗档土斯粽咴谀繕?biāo)國家之外的攻擊可見性��,使其活動(dòng)更難以追蹤��。
研究人員表示:“Trident Ursa 仍然是一種敏捷且適應(yīng)性強(qiáng)的 APT��,不會(huì)在其操作中使用過于復(fù)雜的技術(shù)。” “在大多數(shù)情況下�����,他們依靠公開可用的工具和腳本以及大量的混淆和例行的網(wǎng)絡(luò)釣魚嘗試來成功執(zhí)行他們的操作�。”
來源:FreeBuf
在線咨詢
在線咨詢
0371-63319761