警报!俄罗斯APT组织Gamaredon突袭驻乌西方军事任务,新型窃密 malware 登场!

admin 2025年5月5日19:43:26评论0 views字数 1953阅读6分30秒阅读模式

大家好,我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标,否则可能就无法及时看到啦!因为公众号只对常读和星标的公众号才能大图推送。操作方法:先点击上面的“紫队安全研究”,然后点击右上角的【...】,然后点击【设为星标】即可。

警报!俄罗斯APT组织Gamaredon突袭驻乌西方军事任务,新型窃密 malware 登场!

在俄乌局势持续紧张的大背景下,网络战场也暗流涌动!赛门铁克(Symantec)最新披露,与俄罗斯相关的高级持续性威胁(APT)组织Gamaredon(又名Shuckworm、Armageddon等),于2025年2月26日,动用升级版GammaSteel恶意软件,对驻乌克兰的某西方军事任务发起攻击,一场无声的网络窃取战悄然打响!

一、Gamaredon:紧盯乌克兰的“网络恶狼”

Gamaredon这个组织,早在2013年就“臭名远扬”,长期将乌克兰的政府机构、执法部门和国防组织视为攻击目标,堪称乌克兰网络安全的“心腹大患” 。赛门铁克威胁猎人团队发布的报告指出:“进入2025年,Shuckworm(Gamaredon的别称)依旧死死盯着乌克兰不放,这次把矛头指向了驻乌的西方军事任务。”从2025年2月开始,攻击行动持续到3月,而攻击者最初使用的“武器”,竟是感染病毒的移动存储设备!

二、攻击全流程曝光:步步为营的“隐秘渗透”

这次攻击,Gamaredon团队精心设计了一套复杂的攻击链条。他们先是在用户的Windows注册表UserAssist项下动手脚,借助“explorer.exe”调用“mshta.exe”,开启多阶段感染流程。第一个恶意文件(“NTUSER.DAT.TMContainer00000000000000000001.regtrans-ms”)通过Teletype、Telegram和Telegraph等平台的URL,与控制服务器(C2)建立联系;第二个文件(“NTUSER.DAT.TMContainer00000000000000000002.regtrans-ms”)则专门感染移动和网络驱动器,创建快捷方式来执行“mshta.exe”,并将恶意行为隐藏起来,就像潜伏在系统里的“隐形间谍” 。

到了3月1日,攻击进一步升级。一个恶意脚本主动联系C2服务器,偷偷窃取系统元数据,接着接收一段Base64编码的有效载荷,触发PowerShell命令。这一命令会下载新的混淆脚本,随后又拉取两个PowerShell脚本:一个负责侦察工作,抓取屏幕截图、收集系统信息和文件;另一个就是升级版的GammaSteel窃密软件,专门用于窃取特定文件 。

三、新型GammaSteel:多渠道窃密,防不胜防

此次亮相的升级版GammaSteel恶意软件,堪称“窃密利器”。它支持多种数据窃取方式,包括write.as、cURL,甚至还能借助Tor网络进行数据外发 。一旦通过PowerShell发起的网络请求外发数据失败,它就会自动切换到cURL,并利用Tor网络代理隐藏真实IP地址,继续完成数据窃取任务,让防御者难以追踪攻击源头。

此外,Gamaredon团队还在攻击手法上“推陈出新”,从以往常用的VBS脚本转向PowerShell工具,并通过注册表脚本进行混淆处理,让恶意代码更难被发现。赛门铁克专家分析认为,尽管Gamaredon的技术能力相比其他俄罗斯APT组织稍显逊色,但他们靠着对乌克兰目标的“死缠烂打”弥补不足。如今,他们不断对代码进行小修小补,增加混淆处理,还利用合法网络服务,就是为了降低被检测到的风险 。

四、背后深意:网络战场的战略博弈

这次攻击事件,再次凸显了网络安全在军事行动和地缘政治中的关键地位。驻乌西方军事任务被盯上,意味着网络攻击已经成为影响军事部署、战略决策的重要因素。Gamaredon的持续行动,不仅威胁着乌克兰的网络安全,也给国际社会敲响了警钟——在数字化时代,没有谁能在网络攻击面前独善其身。

对于企业和个人而言,此次事件更是一记沉重的警钟!务必提高警惕,谨慎使用外部移动存储设备,定期更新系统和安全软件,开启多因素认证,避免成为网络攻击的“牺牲品”。同时,相关机构也需加强网络安全防护体系建设,提升对新型恶意软件和攻击手法的监测与应对能力,守护网络世界的安全与稳定!转发提醒身边的人,一起筑牢网络安全防线! 

加入知识星球,可继续阅读

一、"全球高级持续威胁:网络世界的隐形战争",总共26章,为你带来体系化认识APT,欢迎感兴趣的朋友入圈交流。

警报!俄罗斯APT组织Gamaredon突袭驻乌西方军事任务,新型窃密 malware 登场!警报!俄罗斯APT组织Gamaredon突袭驻乌西方军事任务,新型窃密 malware 登场!

二、"DeepSeek:APT攻击模拟的新利器",为你带来APT攻击的新思路。

警报!俄罗斯APT组织Gamaredon突袭驻乌西方军事任务,新型窃密 malware 登场!

喜欢文章的朋友动动发财手点赞、转发、赞赏,你的每一次认可,都是我继续前进的动力。

原文始发于微信公众号(紫队安全研究):警报!俄罗斯APT组织Gamaredon突袭驻乌西方军事任务,新型窃密 malware 登场!

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年5月5日19:43:26
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   警报!俄罗斯APT组织Gamaredon突袭驻乌西方军事任务,新型窃密 malware 登场!https://cn-sec.com/archives/4029943.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息