俄罗斯Gamaredon黑客攻击乌克兰的“西方政府实体”

上个月，在两国之间持续的地缘政治紧张局势中，与俄罗斯有联系的Gamaredon黑客组织试图与在乌克兰运营的一家未具名的西方政府实体妥协。

Palo Alto Networks的第42单元威胁情报团队在2月3日公布的一份新报告中称，网络钓鱼攻击发生在1月19日，并补充称，该攻击“勾勒出了三大集群的基础设施，用于支持不同的网络钓鱼和恶意软件目的”

自2013年以来，这家名为Shuckworm、Armageddon或Primitive Bear的威胁行动方一直将攻击性网络攻击重点放在乌克兰政府官员和组织身上。去年，乌克兰披露了该集体与俄罗斯联邦安全局（FSB）的关系。

为了实施网络钓鱼攻击，活动背后的运营商利用国内的求职和就业平台作为渠道，以与目标实体相关的活动工作清单的简历形式上传恶意软件下载程序。

研究人员指出：“考虑到这场运动所涉及的步骤和精确的交付，这似乎是伽玛雷登有意妥协这个西方政府组织的一次具体尝试。”。

此外，第42单元揭示了2021年12月1日针对乌克兰州移民服务（SMS）的GAMARDONN活动的证据，其使用Word文档作为诱饵来安装开源ULUVNC虚拟网络计算（VNC）软件，以维持对受感染计算机的远程访问。

研究人员说：“Gamaredon参与者在建设和维护基础设施时，会采用一种有趣的方法。”。“大多数参与者在网络活动中使用域名后会选择放弃域名，以便与任何可能的归属保持距离。然而，Gamaredon的方法是独特的，他们似乎通过在新的基础设施中不断轮换域名来回收域名。”

综上所述，攻击基础设施跨越不少于700个流氓域、215个IP地址和100多个恶意软件样本，集群用于托管武器化文档，这些文档被设计成在打开时执行恶意代码，并充当其Pterodo（又名Pteranodon）远程访问特洛伊木马的命令和控制服务器。