大家好,我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标,否则可能就无法及时看到啦!因为公众号只对常读和星标的公众号才能大图推送。操作方法:先点击上面的“紫队安全研究”,然后点击右上角的【...】,然后点击【设为星标】即可。
在俄乌局势持续紧张的大背景下,网络战场也暗流涌动!赛门铁克(Symantec)最新披露,与俄罗斯相关的高级持续性威胁(APT)组织Gamaredon(又名Shuckworm、Armageddon等),于2025年2月26日,动用升级版GammaSteel恶意软件,对驻乌克兰的某西方军事任务发起攻击,一场无声的网络窃取战悄然打响!
一、Gamaredon:紧盯乌克兰的“网络恶狼”
Gamaredon这个组织,早在2013年就“臭名远扬”,长期将乌克兰的政府机构、执法部门和国防组织视为攻击目标,堪称乌克兰网络安全的“心腹大患” 。赛门铁克威胁猎人团队发布的报告指出:“进入2025年,Shuckworm(Gamaredon的别称)依旧死死盯着乌克兰不放,这次把矛头指向了驻乌的西方军事任务。”从2025年2月开始,攻击行动持续到3月,而攻击者最初使用的“武器”,竟是感染病毒的移动存储设备!
二、攻击全流程曝光:步步为营的“隐秘渗透”
这次攻击,Gamaredon团队精心设计了一套复杂的攻击链条。他们先是在用户的Windows注册表UserAssist项下动手脚,借助“explorer.exe”调用“mshta.exe”,开启多阶段感染流程。第一个恶意文件(“NTUSER.DAT.TMContainer00000000000000000001.regtrans-ms”)通过Teletype、Telegram和Telegraph等平台的URL,与控制服务器(C2)建立联系;第二个文件(“NTUSER.DAT.TMContainer00000000000000000002.regtrans-ms”)则专门感染移动和网络驱动器,创建快捷方式来执行“mshta.exe”,并将恶意行为隐藏起来,就像潜伏在系统里的“隐形间谍” 。
到了3月1日,攻击进一步升级。一个恶意脚本主动联系C2服务器,偷偷窃取系统元数据,接着接收一段Base64编码的有效载荷,触发PowerShell命令。这一命令会下载新的混淆脚本,随后又拉取两个PowerShell脚本:一个负责侦察工作,抓取屏幕截图、收集系统信息和文件;另一个就是升级版的GammaSteel窃密软件,专门用于窃取特定文件 。
三、新型GammaSteel:多渠道窃密,防不胜防
此次亮相的升级版GammaSteel恶意软件,堪称“窃密利器”。它支持多种数据窃取方式,包括write.as、cURL,甚至还能借助Tor网络进行数据外发 。一旦通过PowerShell发起的网络请求外发数据失败,它就会自动切换到cURL,并利用Tor网络代理隐藏真实IP地址,继续完成数据窃取任务,让防御者难以追踪攻击源头。
此外,Gamaredon团队还在攻击手法上“推陈出新”,从以往常用的VBS脚本转向PowerShell工具,并通过注册表脚本进行混淆处理,让恶意代码更难被发现。赛门铁克专家分析认为,尽管Gamaredon的技术能力相比其他俄罗斯APT组织稍显逊色,但他们靠着对乌克兰目标的“死缠烂打”弥补不足。如今,他们不断对代码进行小修小补,增加混淆处理,还利用合法网络服务,就是为了降低被检测到的风险 。
四、背后深意:网络战场的战略博弈
这次攻击事件,再次凸显了网络安全在军事行动和地缘政治中的关键地位。驻乌西方军事任务被盯上,意味着网络攻击已经成为影响军事部署、战略决策的重要因素。Gamaredon的持续行动,不仅威胁着乌克兰的网络安全,也给国际社会敲响了警钟——在数字化时代,没有谁能在网络攻击面前独善其身。
对于企业和个人而言,此次事件更是一记沉重的警钟!务必提高警惕,谨慎使用外部移动存储设备,定期更新系统和安全软件,开启多因素认证,避免成为网络攻击的“牺牲品”。同时,相关机构也需加强网络安全防护体系建设,提升对新型恶意软件和攻击手法的监测与应对能力,守护网络世界的安全与稳定!转发提醒身边的人,一起筑牢网络安全防线!
加入知识星球,可继续阅读
一、"全球高级持续威胁:网络世界的隐形战争",总共26章,为你带来体系化认识APT,欢迎感兴趣的朋友入圈交流。
二、"DeepSeek:APT攻击模拟的新利器",为你带来APT攻击的新思路。
喜欢文章的朋友动动发财手点赞、转发、赞赏,你的每一次认可,都是我继续前进的动力。
原文始发于微信公众号(紫队安全研究):警报!俄罗斯APT组织Gamaredon突袭驻乌西方军事任务,新型窃密 malware 登场!
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论