新威胁组织“GamaCopy”模仿俄罗斯关联的Gamaredon APT攻击俄罗斯目标

admin 2025年4月2日17:00:48评论6 views字数 1065阅读3分33秒阅读模式

新威胁组织“GamaCopy”模仿俄罗斯关联的Gamaredon APT攻击俄罗斯目标

新出现的威胁行为者“GamaCopy”在针对说俄语目标的攻击中,模仿与俄罗斯有关联的Gamaredon高级持续性威胁(APT)组织的手法。

 

知道创宇404高级威胁情报团队最近分析了一系列针对说俄语目标的攻击,这些攻击使用军事主题诱饵、以7z自解压格式(SFX)作为载荷,并利用UltraVNC远程控制软件,其手法与Gamaredon的战术、技术和程序(TTPs)极为相似。

 

研究人员将这些攻击活动与名为“Core Werewolf”(又称“Awaken Likho”“PseudoGamaredon”)的APT组织联系起来。由于它模仿Gamaredon的行为,研究人员将其命名为“GamaCopy”。

 

至少从2021年8月起,GamaCopy就已经活跃。2023年6月,该组织被发现,其攻击目标主要是俄罗斯的国防和基础设施领域,且手法与Gamaredon的TTPs如出一辙。

 

知道创宇404高级威胁情报团队发布的报告中提到:“通过追溯样本来源,我们将其与多次针对俄罗斯发动攻击的Core Werewolf组织联系起来。众所周知,在南亚地区也有一对有趣的APT攻击组织,它们之间存在类似的关系,即‘Sidewinder’和‘Sidecopy’。此次发现的攻击活动模仿了攻击乌克兰的Gamaredon组织,因此可将其命名为GamaCopy。”

 

研究人员注意到,其他安全厂商曾将多个同类历史样本归为Gamaredon组织所为。GamaCopy成功的“假旗”操作欺骗了一些未进行深入分析的厂商。

 

GamaCopy的攻击链始于一个7-Zip自解压(SFX)压缩包,该压缩包会释放载荷,其中包括一个批处理脚本,该脚本会安装UltraVNC软件,并显示一个伪装的PDF文件。攻击者将UltraVNC的可执行文件重命名为“OneDrivers.exe”,试图模仿微软OneDrive的二进制文件,以此躲避检测。

 

GamaCopy攻击中使用的诱饵文档聚焦于军事设施,反映了俄乌冲突相关主题。不过,Gamaredon使用乌克兰语作为诱饵,而GamaCopy则针对说俄语的用户。

 

报告总结道:“从代码相似性、诱饵文档中的语言使用以及端口资产等角度来看,此次发现的攻击样本更倾向于归属于GamaCopy组织。自曝光以来,该组织频繁模仿Gamaredon组织使用的TTPs,并巧妙地利用开源工具作为掩护,在混淆公众认知的同时实现自身目的。”

原文始发于微信公众号(紫队安全研究):新威胁组织“GamaCopy”模仿俄罗斯关联的Gamaredon APT攻击俄罗斯目标

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年4月2日17:00:48
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   新威胁组织“GamaCopy”模仿俄罗斯关联的Gamaredon APT攻击俄罗斯目标https://cn-sec.com/archives/3894100.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息