GamaCopy 现身！模仿 Gamaredon 组织，对俄发动新一轮攻击

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【...】,然后点击【设为星标】即可。

“真假难辨！新威胁组织 GamaCopy 模仿俄罗斯黑客 Gamaredon，悄然对俄防御和基础设施领域发起攻击！”  

近日，Knownsec 404 高级威胁情报团队曝光了一场针对俄罗斯的APT 网络攻击，其战术、技术和程序（TTPs）与俄罗斯知名黑客组织 Gamaredon 极为相似，但实际幕后黑手却是一个全新的威胁组织——GamaCopy。  

GamaCopy 伪装成 Gamaredon 组织，利用军事主题文档、7z SFX 载荷、UltraVNC 远程控制工具等手段发动攻击，试图制造“假旗”行动，迷惑安全研究人员。  

📌 GamaCopy：潜伏已久的“影子”黑客组织  

🔍 研究人员发现，GamaCopy 至少从 2021 年 8 月起就开始活动，并于 2023 年 6 月被首次发现。其主要目标直指俄罗斯的国防和基础设施领域，在手法上高度模仿 Gamaredon，以混淆调查人员的分析方向。  

🔍 此次攻击流程：  

1. 使用 7Zip 自解压存档（SFX） 作为初始攻击载荷；  

2. 部署批处理脚本（BAT），安装 UltraVNC 远程控制工具；  

3. 伪装恶意程序，将 UltraVNC 可执行文件重命名为 “OneDrivers.exe”，试图冒充微软 OneDrive 进程以逃避检测；  

4. 诱饵文件 以“军事设施”为主题，利用俄罗斯乌克兰冲突背景，精准吸引目标用户点击。  

值得注意的是，Gamaredon 组织的攻击目标通常是乌克兰，使用乌克兰语诱饵，而GamaCopy 采用俄语，这说明它专门针对俄罗斯本土用户，背后动机耐人寻味。  

🎭 假旗行动：迷惑安全社区，GamaCopy 试图掩盖真相  

研究人员指出，部分安全厂商此前误将 GamaCopy 的攻击归因于 Gamaredon，表明该组织的伪装战术极为成功。GamaCopy 频繁复用开源工具，不仅降低了开发成本，还能利用这些工具来隐藏真实身份，让安全分析师难以追踪其源头。  

> “从代码相似度、诱饵文档语言及攻击资产来看，我们更倾向于将该攻击归因于 GamaCopy，而非 Gamaredon。” —— Knownsec 404 报告  

🛡️ 网络安全警示：如何防御此类攻击？  

🔹 谨慎处理陌生文件，尤其是来自未知来源的7z 压缩包或 SFX 自解压文件；  

🔹 避免随意运行批处理脚本（BAT），检查是否涉及可疑进程，如 UltraVNC；  

🔹 定期更新安全防护措施，确保终端安全软件能够识别新型 APT 组织的攻击手法；  

🔹 强化企业内部网络安全意识培训，提高员工防范网络钓鱼攻击的能力。  

🤔 GamaCopy 背后究竟是谁？  

目前，GamaCopy 组织的真实身份仍然是个谜。其精准针对俄罗斯目标，却又模仿俄罗斯黑客 Gamaredon，这是否意味着该组织与某个“第三方势力”有关？还是另一个国家级黑客组织正在暗中搅局？  

这一切仍有待进一步调查……🔎🔦  

📢 你认为 GamaCopy 的真正幕后黑手是谁？这种假旗行动会给全球网络安全带来怎样的影响？欢迎留言讨论！ 🔥💬  

推荐阅读：知识星球连载创作"全球高级持续威胁：网络世界的隐形战争"，总共26章，相信能够为你带来不一样的世界认知，欢迎感兴趣的朋友入圈沟通交流。

喜欢文章的朋友动动发财手点赞、转发、赞赏，你的每一次认可，都是我继续前进的动力。

原文始发于微信公众号（紫队安全研究）：GamaCopy 现身！模仿 Gamaredon 组织，对俄发动新一轮攻击