Gamaredon 利用感染的可移动驱动器入侵乌克兰的西方军事任务
HackerNews 编译,转载请注明出处: 与俄罗斯有关联的威胁组织 Gamaredon(又名 Shuckworm)被指对乌克兰境内的一个外国军事任务发动了网络攻击,目的是投放一种名为 GammaSteel 的已知恶意软件的更新版本。 据赛门铁克威胁猎手团队称,该组织针对一个西方国家的军事任务,首次检测到恶意活动的迹象是在 2025 年 2 月 26 日。 赛门铁克在其报告中表示:“攻击者使用的初始感染向量似乎是一个被感染的可移动驱动器。” 攻击从在 Windows 注册表的 UserAssist 键下创建一个值开始,随后通过 “explorer.exe” 启动 “mshta.exe”,以启动一个多阶段感染链并运行两个文件。 第一个文件名为 “NTUSER.DAT.TMContainer00000000000000000001.regtrans-ms”,用于与命令与控制(C2)服务器建立通信。该服务器通过访问与合法服务(如 Teletype、Telegram 和 Telegraph 等)相关的特定 URL 来获取。 第二个文件名为 “NTUSER.DAT.TMContainer00000000000000000002.regtrans-ms”,设计用于通过创建每个文件夹的快捷方式文件来感染任何可移动驱动器和网络驱动器,以执行恶意的 “mshta.exe” 命令并隐藏它。 随后在 2025 年 3 月 1 日,脚本被执行以联系 C2 服务器,窃取系统元数据,并接收一个 Base64 编码的负载,该负载随后用于运行一个设计用于下载混淆后的新版本脚本的 PowerShell 命令。 该脚本连接到一个硬编码的 C2 服务器以获取另外两个 PowerShell 脚本。第一个脚本是一个侦察工具,能够截取屏幕截图、运行 systeminfo 命令、获取主机上运行的安全软件的详细信息、枚举桌面中的文件和文件夹,并列出正在运行的进程。 第二个 PowerShell 脚本是 GammaSteel 的改进版本,这是一种已知的信息窃取工具,能够根据桌面和文档文件夹中的扩展名白名单从受害者的设备中窃取文件。 “这次攻击标志着 Shuckworm 在复杂性上有所提升,尽管它看起来比其他俄罗斯组织的技术能力稍逊一筹,但它通过不懈地专注于乌克兰的目标来弥补这一点,”赛门铁克表示。 “尽管该组织似乎没有像一些其他俄罗斯组织那样的技术能力,但 Shuckworm 现在似乎正在通过不断对其使用的代码进行小幅度修改、添加混淆以及利用合法的网络服务来尝试降低被发现的风险。” 消息来源:The Hacker News; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文