乌克兰战争期间俄罗斯黑客袭击北约国家炼油厂

今年早些时候，在俄乌战争持续期间，与俄罗斯有关联的Gamaredon集团试图闯入北约成员国的一家大型炼油公司，但未能成功。

这起发生于2022年8月30日的袭击只是由俄罗斯联邦安全局（FSB）发起的高级持续威胁（APT）策划的多起入侵事件之一。

Gamaredon也被称为锕、末日、铁提尔登、原始熊、树虫、三叉戟熊和温特比目鱼，其历史主要是追踪乌克兰实体，并在较小程度上追踪北约盟友以获取敏感数据。

帕洛阿尔托网络42部在与《黑客新闻》分享的一份报告中表示：“随着冲突在地面和网络空间的持续，三叉戟Ursa一直作为一个专门的访问创建者和情报收集者在运作。”。“三叉戟Ursa仍然是针对乌克兰的最普遍、最具侵入性、持续活跃和最集中的APT之一。”

在过去的10个月里，42小组对该小组活动的持续监控发现了500多个新域名、200个恶意软件样本，并多次改变策略，以应对不断变化和扩大的优先事项。

除了网络攻击之外，安全研究人员在2022年2月军事入侵前几天强调了机组人员的承诺，他们收到了据称是Gamaredon同伙的威胁推文，强调了对手采用的恐吓手段。

其他值得注意的方法包括使用Telegram页面查找命令和控制（C2）服务器，以及快速流量DNS在短时间内通过多个IP地址进行循环，以使基于IP的数据挖掘和删除工作更加困难。

这些攻击本身需要交付嵌入矛式钓鱼电子邮件中的武器化附件，以便在受损主机上部署VBScript后门，该后门能够建立持久性并执行C2服务器提供的额外VBScript代码。

还观察到Gamaredon感染链利用地理阻断将攻击限制在特定位置，并利用滴管可执行文件启动下一阶段VBScript有效载荷，随后连接到C2服务器以执行进一步的命令。

地理封锁机制起到了安全盲点的作用，因为它降低了威胁行为者在目标国家以外袭击的可见性，并使其活动更难以追踪。

研究人员表示：“三叉戟Ursa仍然是一种灵活、适应性强的APT，在作战中不使用过于复杂或复杂的技术”。“在大多数情况下，他们依靠公开可用的工具和脚本，以及大量的混淆和常规钓鱼尝试来成功执行操作”。