首页 > 安全 > 正文

俄罗斯卡拉德邦普遍瞄准乌克兰

最后更新 :2022.04.21

俄罗斯联系威胁演员Gamaredon与乌克兰的新变种瞄准了  Pertiodo Backdoor的新变种。

俄罗斯联系的Gamaredon APT组(A.K.A.  Armageddon,原始熊和Actinium)继续瞄准乌克兰它是使用该&nbsp的新变种;定制  pterodo backdoor(aka pteranodon)。

春季春天的赛事队是最近一系列的一系列矛网络钓鱼攻击,其针对乌克兰实体和与乌克兰事务有关的组织以来,微软表示。

Gamaredon以来一直在乌克兰推出网络 - 间谍活动赛门铁克的研究人员透露,APT组在最近的攻击中使用了定制Pteredo后门的至少四个变体。

Pteranodon是一个多级后门,旨在收集敏感信息或保持对受损机器的访问。它是通过矛网络钓鱼的分布具有武器化办公文件的精英,似乎设计为诱导目标。 

归因于Gamaredon的最近攻击是通过在目标系统上部署多个恶意软件有效载荷来表征。由威胁演员提供的有效载荷通常是旨在执行类似任务的后德门的不同变体。研究人员指出,每个变体都将与不同的命令和控制(C& c)服务器通信。

使用多种变体的最可能原因是它可以提供维持持久性的基本方法受感染的计算机。如果检测到并阻止C服务器或C服务器,则攻击者可以重新返回其中一个并滚动更多的新变型以补偿。阅读Symantec发布的分析。

攻击者正在使用多种不同的有效载荷来建立受感染系统的持久性,并为戒断o而被弹性安全公司和政府专家进行的攻击。

攻击中使用的Pterodo变量是修改的自我提取档案,其中包含充当滴管的混淆vbscripts。

后门通过在从C&amp的附加有效载荷下加入预定的有效载荷来实现持久性。

以下由专家分析的Gamaredons后门的四个变体:

后门。Pterodo.b此变体是一个修改的自提取存档,包含可以在7-zip.backdoor.pterodo.c的资源中包含的软化vbscripts此类变体,该变量还旨在将VBScript放在受感染的计算机上。 运行时,它将首先从事API锤击,制作多个毫无意义的API调用,这可能是避免沙箱检测的尝试.backdoor.pterodo.d是另一个vbscript dropper.backdoor.pterodo.e最终变体在功能上非常相似变体B和C,从事API Hamme在将两个vbscript文件提取到用户的主目录之前ring。脚本混淆与其他变体非常相似。

Nation-State Hackers还使用其他工具,例如Ultravnc远程管理/远程桌面软件实用程序。使用流行的Microsoft Sysinternals进程资源管理器工具也观察到GamareDon。

虽然Shuffworm不是最剧烈的复杂的间谍组,但它在其重点和持久性中弥补了这一点,而坚持不懈地瞄准乌克兰组织。似乎Pterodo被攻击者持续重新开发,以便在检测到之前保持。结束了该活动的报告,该报告涉及该活动的妥协指标(IOC)。

请投票为安全事务作为最佳欧洲网络安全博主奖奖励2022投票

投票我在部分弱者最好的个人(非商业)安全博客和Tech Whiz BEST技术博客和您选择的其他人。

提名,请访问:

https://docs.google.com/borms/d/e/1faipqlsfxxristicimz9qm9iipumqic-iom-npqmosfznjxrbqryjgcow/viewform


- END -

    数据加载中,请稍后...
看更多