据以色列网络安全公司 Check Point 报道,最近发现的一种 USB 蠕虫病毒似乎是由与俄罗斯有关的高级持续威胁 (APT) 组织 Gamaredon 发起的,该蠕虫病毒似乎已蔓延到乌克兰以外的地区,而这可能是其预期目标。
Gamaredon 也被称为“Armageddon”、“Aqua Blizzard”、“Primitive Bear”、“Shuckworm”和“Trident Ursa”,活跃了至少十年,主要针对乌克兰实体,例如政府雇员、记者和军事人员。
APT 成员此前被确定为俄罗斯联邦安全局 (FSB) 的雇员,但 Gamaredon 也参与了雇佣黑客活动。
据观察,该组织不断改变策略和工具,以确保成功攻克乌克兰目标并保持对其网络的持续访问,最近发现的名为LitterDrifter的自我传播 USB 工作似乎就是这样的工具之一。
|
Gamaredon,也被称为 Primitive Bear、ACTINIUM 和 Shuckworm,是俄罗斯间谍生态系统中的一个独特参与者,其目标几乎完全是乌克兰实体。尽管研究人员经常努力发现俄罗斯间谍活动的证据,但加马雷东的表现尤其引人注目。其背后的组织开展大规模活动,同时仍然主要关注区域目标。乌克兰安全局 (SSU) 确认加马雷顿人员是俄罗斯联邦安全局 (FSB) 官员。 Gamaredon 的大规模活动之后通常是针对特定目标的数据收集工作,其选择可能是出于间谍目的。这些努力与旨在保持尽可能多地访问这些目标的各种机制和工具的部署同时进行。其中一种工具是 USB 传播蠕虫,Checkpoint将其命名为 LitterDrifter。 |
该恶意软件用 VBScript 编写,包含两个主要功能:自动传播到其他 USB 驱动器以及与一组灵活的命令和控制 (C&C) 服务器进行通信。但是,它也可以执行从 C&C 接收到的有效负载。
在与服务器建立通信之前,LitterDrifter 检查计算机是否被感染,如果没有则检索配置文件。C&C 通信是使用包含受感染系统信息的自定义用户代理执行的。
据 Check Point 称,Gamaredon 的基础设施仍然灵活且不稳定,域名用作 C&C 服务器 IP 地址的占位符,IP 地址可运行大约 28 小时,但活跃的 C&C 除外,每天会发生几次变化。
Check Point 指出,Gamaredon 继续关注乌克兰,但在其他国家和地区也观察到了潜在的 LitterDrifter 感染,包括美国、智利、德国、香港、波兰和越南,这表明该蠕虫已传播到其管辖范围之外。预期目标。
“LitterDrifter 不依赖于突破性技术,可能看起来是一种相对简单的恶意软件。然而,这种简单性也符合其目标,反映了 Gamaredon 的整体方法。该组织在乌克兰的持续活动证明了这一方法相当有效。”Check Point 总结道。
>>>错与罚<<<
原文始发于微信公众号(祺印说信安):以色列安全公司称俄罗斯蠕虫病毒外溢至乌克兰以外地区
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论