烏克蘭CERT-UA警告，俄相關APT組織正攻擊烏克蘭國家機構

近日，烏克蘭 CERT-UA 計算機應急響應小組發布了一份安全報告，提醒國內組織機構警惕俄羅斯相關的網絡間諜組織Armageddon APT(又名Gamaredon、Primitive Bear、Armageddon、Winterflounder或Iron Tilden)發起的魚叉式網絡釣魚攻擊。這些網絡釣魚信息自“vadim_melnik88@i[”發起，其目的是用惡意軟件感染目標系統。

Armageddon APT組織最早由美國科技公司賽門鐵克(Symantec)和趨勢科技(TrendMicro)于2015年發現，其活動證據甚至可以追溯至2013年。調查顯示，烏克蘭的政府和軍事組織一向是該組織的目標重點目標。2019年12月，該組織曾針對幾名烏克蘭外交、政府和軍事官員以及執法部門發動過攻擊。

2021年11月，烏克蘭主要執法部門和反情報部門披露了Armageddon APT組織背后五名俄羅斯聯邦安全局成員的真實身份。

就在近些日子，烏克蘭CERT-UA小組再次發出了警告。該組織正以“俄羅斯聯邦戰犯信息”為誘餌向當地政府機構發送電子郵件。這些信息使用html文件“War criminals of the Russian Federation.htm”（俄羅斯聯邦戰犯）作為附件。而該文件被打開時，將創建一個名為“Viyskovi_zlochinci_RU.rar”的rar歸檔文件。

在這個rar文件中包含一個名為“War criminals destroying Ukraine (home addresses, photos, phone numbers, pages on social networks) .lnk,”(戰爭罪摧毀烏克蘭家庭地址、照片、電話號碼、社交網絡頁面)的鏈接文件，一旦打開，惡意代碼將下載一個包含vbscript代碼的hta文件，該文件將下載并運行powershell腳本“get.php”(GammaLoad.PS1)。而計算機的唯一標識符就是該腳本據其計算得出。

截至目前，烏克蘭CERT-UA小組已經公布了本次攻擊的妥協指標（IOC）。

參考來源：

https://securityaffairs.co/wordpress/129859/apt/armageddon-apt-targets-ukrainian-state-orgs.html