黑客組織Gamaredon針對烏克蘭發起網絡釣魚攻擊

關注烏克蘭網絡攻擊的安全研究人員發布報告稱，俄羅斯黑客組織Gamaredon繼續以烏克蘭為目標，對其發起網絡釣魚攻擊。據了解，最近一波攻擊發生在 2022 年 7 月 15 日至 8 月 8 日之間，黑客組織通過自解壓7zip文件試圖感染烏克蘭目標，使用VBS下載器部署后門，最終竊取錄音、屏幕截圖、鍵擊和敏感文件等。

關于黑客組織Gamaredon

Gamaredon（又名 Armageddon 或 Shuckworm），是一個據稱來自俄羅斯的黑客組織。自2014年以來一直保持活躍，主要攻擊目標是與烏克蘭政府存在可能關聯的個人，該組織已經對該國關鍵公共設施和私營實體的數千次襲擊負責。

Gamaredon主要通過發送魚叉式網絡釣魚電子郵件來分發屏幕截圖和文件竊取工具，惡意附件通常是SFX格式的壓縮文件。為了保證病毒能夠在受感染服務器上長久存活，通常還會利用到計劃任務（crontab）程序。

事件詳情

自 2022 年 2 月俄羅斯入侵以來，Gamaredon黑客組織針對烏克蘭目標的活動有所升級，包括網絡釣魚攻擊和新型惡意軟件變種的部署。根據Broadcom Software 發布的一份報告，在戰爭的第 6 個月，Gamaredon 的網絡攻擊活動有增無減。

2022年7月15日至8月8日之間，俄羅斯Gamaredon組織針對烏克蘭目標發起了新的攻擊。感染媒介涉及帶有自解壓 7-Zip 存檔的網絡釣魚郵件，該存檔從與 Gamaredon 關聯的“xsph.ru”子域獲取 XML 文件，XML 文件會執行 PowerShell 信息竊取程序。此外，安全研究人員在其中發現了幾個稍有修改的變體，很可能是為了逃避檢測。

此外，俄羅斯黑客使用 VBS 下載器來獲取 Pterodo 后門，這是 Gamaredon 的商標工具之一。在某些情況下，還獲取了 Giddome 后門。這些后門允許攻擊者使用主機的麥克風錄制音頻、從桌面截取屏幕截圖、記錄和泄露擊鍵，或者下載和執行額外的“.exe”和“.dll”有效負載。最后，在最近的活動中，Gamaredon組織部署了合法的遠程桌面協議工具“Ammyy Admin”和“AnyDesk”。

上周，烏克蘭的計算機應急響應小組 (CERT-UA)也報告了Gamaredon 最近的活動，此前他們發現了一個新的網絡釣魚活動，該活動依賴于從受感染的電子郵件帳戶發送的 HTM 附件。CERT-UA還報告了 PowerShell 信息竊取者試圖竊取存儲在 Web 瀏覽器上的數據。

烏克蘭網絡安全機構發現，Gamaredon 嘗試使用特制宏修改主機上的“Normal.dotm”文件。主機的 Normal.dotm 文件(CERT-UA)上的遠程模板注入此文件是默認的 Microsoft Word 模板，因此對其進行修改可能會使在受感染計算機上創建的所有文檔都帶有惡意代碼。通過這樣做，受害者成為新的感染源和高質量的感染源，因為不知情的收件人更有可能打開他們信任的發件人的文件。

防范網絡釣魚攻擊的方法

1、給電腦瀏覽器程序安裝補丁，保持補丁在最新狀態。

2、不要點擊任何不明的超鏈接。為了防止網絡釣魚，用戶可以在地址欄中親自輸入這些信息，或將網址粘貼到一個瀏覽器程序窗口的地址欄中打開。

3、對于要求重新輸入賬號信息，否則要停掉信用卡賬號之類的郵件不予理睬。

網絡釣魚攻擊的危害范圍逐漸擴大，成為最具威脅的網絡安全事件。一些受害者遭到網絡釣魚后蒙受經濟上的損失，也給企業帶來品牌形象的損傷，危害了公眾利益，影響公眾應用互聯網的信息。因此，大家要提高警惕，小心防范網絡釣魚攻擊。