新威胁组织“GamaCopy”模仿俄罗斯关联的Gamaredon APT攻击俄罗斯目标

新出现的威胁行为者“GamaCopy”在针对说俄语目标的攻击中，模仿与俄罗斯有关联的Gamaredon高级持续性威胁（APT）组织的手法。

知道创宇404高级威胁情报团队最近分析了一系列针对说俄语目标的攻击，这些攻击使用军事主题诱饵、以7z自解压格式（SFX）作为载荷，并利用UltraVNC远程控制软件，其手法与Gamaredon的战术、技术和程序（TTPs）极为相似。

研究人员将这些攻击活动与名为“Core Werewolf”（又称“Awaken Likho”“PseudoGamaredon”）的APT组织联系起来。由于它模仿Gamaredon的行为，研究人员将其命名为“GamaCopy”。

至少从2021年8月起，GamaCopy就已经活跃。2023年6月，该组织被发现，其攻击目标主要是俄罗斯的国防和基础设施领域，且手法与Gamaredon的TTPs如出一辙。

知道创宇404高级威胁情报团队发布的报告中提到：“通过追溯样本来源，我们将其与多次针对俄罗斯发动攻击的Core Werewolf组织联系起来。众所周知，在南亚地区也有一对有趣的APT攻击组织，它们之间存在类似的关系，即‘Sidewinder’和‘Sidecopy’。此次发现的攻击活动模仿了攻击乌克兰的Gamaredon组织，因此可将其命名为GamaCopy。”

研究人员注意到，其他安全厂商曾将多个同类历史样本归为Gamaredon组织所为。GamaCopy成功的“假旗”操作欺骗了一些未进行深入分析的厂商。

GamaCopy的攻击链始于一个7-Zip自解压（SFX）压缩包，该压缩包会释放载荷，其中包括一个批处理脚本，该脚本会安装UltraVNC软件，并显示一个伪装的PDF文件。攻击者将UltraVNC的可执行文件重命名为“OneDrivers.exe”，试图模仿微软OneDrive的二进制文件，以此躲避检测。

GamaCopy攻击中使用的诱饵文档聚焦于军事设施，反映了俄乌冲突相关主题。不过，Gamaredon使用乌克兰语作为诱饵，而GamaCopy则针对说俄语的用户。

报告总结道：“从代码相似性、诱饵文档中的语言使用以及端口资产等角度来看，此次发现的攻击样本更倾向于归属于GamaCopy组织。自曝光以来，该组织频繁模仿Gamaredon组织使用的TTPs，并巧妙地利用开源工具作为掩护，在混淆公众认知的同时实现自身目的。”

原文始发于微信公众号（紫队安全研究）：新威胁组织“GamaCopy”模仿俄罗斯关联的Gamaredon APT攻击俄罗斯目标