新出现的威胁行为者“GamaCopy”在针对说俄语目标的攻击中,模仿与俄罗斯有关联的Gamaredon高级持续性威胁(APT)组织的手法。
知道创宇404高级威胁情报团队最近分析了一系列针对说俄语目标的攻击,这些攻击使用军事主题诱饵、以7z自解压格式(SFX)作为载荷,并利用UltraVNC远程控制软件,其手法与Gamaredon的战术、技术和程序(TTPs)极为相似。
研究人员将这些攻击活动与名为“Core Werewolf”(又称“Awaken Likho”“PseudoGamaredon”)的APT组织联系起来。由于它模仿Gamaredon的行为,研究人员将其命名为“GamaCopy”。
至少从2021年8月起,GamaCopy就已经活跃。2023年6月,该组织被发现,其攻击目标主要是俄罗斯的国防和基础设施领域,且手法与Gamaredon的TTPs如出一辙。
知道创宇404高级威胁情报团队发布的报告中提到:“通过追溯样本来源,我们将其与多次针对俄罗斯发动攻击的Core Werewolf组织联系起来。众所周知,在南亚地区也有一对有趣的APT攻击组织,它们之间存在类似的关系,即‘Sidewinder’和‘Sidecopy’。此次发现的攻击活动模仿了攻击乌克兰的Gamaredon组织,因此可将其命名为GamaCopy。”
研究人员注意到,其他安全厂商曾将多个同类历史样本归为Gamaredon组织所为。GamaCopy成功的“假旗”操作欺骗了一些未进行深入分析的厂商。
GamaCopy的攻击链始于一个7-Zip自解压(SFX)压缩包,该压缩包会释放载荷,其中包括一个批处理脚本,该脚本会安装UltraVNC软件,并显示一个伪装的PDF文件。攻击者将UltraVNC的可执行文件重命名为“OneDrivers.exe”,试图模仿微软OneDrive的二进制文件,以此躲避检测。
GamaCopy攻击中使用的诱饵文档聚焦于军事设施,反映了俄乌冲突相关主题。不过,Gamaredon使用乌克兰语作为诱饵,而GamaCopy则针对说俄语的用户。
报告总结道:“从代码相似性、诱饵文档中的语言使用以及端口资产等角度来看,此次发现的攻击样本更倾向于归属于GamaCopy组织。自曝光以来,该组织频繁模仿Gamaredon组织使用的TTPs,并巧妙地利用开源工具作为掩护,在混淆公众认知的同时实现自身目的。”
原文始发于微信公众号(紫队安全研究):新威胁组织“GamaCopy”模仿俄罗斯关联的Gamaredon APT攻击俄罗斯目标
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论