微软披露俄罗斯针对乌克兰的黑客活动的新细节

周五，微软分享了总部位于俄罗斯的Gamaredon黑客组织在过去六个月里为推动针对乌克兰多个实体的网络间谍攻击而采取的更多战术、技术和程序（TTP）。

据说，这些攻击将政府、军队、非政府组织（NGO）、司法机构、执法机构和非营利组织挑出来，主要目的是过滤敏感信息，保持访问权限，并利用这些信息横向进入相关组织。

Windows制造商的威胁情报中心（MSTIC）正在跟踪名为锕（以前称为DEV-0157）的集群，坚持其通过化学元素名称识别民族国家活动的传统。

乌克兰政府于2021年11月公开将GAMAREDON归入俄罗斯联邦安全局（FSB），并将其业务连接到克里米亚共和国俄罗斯和塞瓦斯托波尔市的FSB办公室。

“自2021年10月起，Accmimim已经针对那些对紧急事件反应至关重要的组织，并确保乌克兰领土的安全，以及参与协调在危机中向乌克兰提供国际和人道主义援助的组织，急诊科的目标或妥协。”

值得指出的是，Gamaredon威胁组织代表了一组独特的攻击，与上个月的网络攻击不同。上个月的网络攻击使用破坏性数据擦除恶意软件伪装成勒索软件，摧毁了多个乌克兰政府机构和企业实体。

这些攻击主要利用矛式网络钓鱼电子邮件作为初始访问载体，邮件中带有恶意软件的宏附件，当收件人打开被篡改的文档时，这些附件使用包含恶意代码的远程模板。

In an interesting tactic, the operators also embed a tracking pixel-like "web bug" within the body of the phishing message to monitor if a message has been opened, following which, the infection chain triggers a multi-stage process that culminates in the deployment of several binaries, including —

• 强力冲床– 基于PowerShell的dropper和downloader，用于远程检索下一阶段的可执行文件
• 翼翅目– 这是一个不断发展的功能丰富的后门，还具有一系列旨在使分析变得更加困难的功能
• 静观– 一个非常模糊的问题。NET二进制文件专门用于目标主机上的数据过滤和侦察

研究人员解释说：“虽然QuietSieve恶意软件系列主要用于从受损主机中过滤数据，但它也可以从操作员那里接收并执行远程有效负载。”同时，研究人员还指出，它大约每五分钟就可以截取受损主机的屏幕截图。

This is far from the only intrusion staged by the threat actor, which also struck an unnamed Western government organization in Ukraine last month via a malware-laced resume for an active job listing with the entity posted on a local job portal. It also targeted the country's State Migration Service (SMS) in December 2021.

思科塔洛斯（Cisco Talos）在对1月份事件的持续分析中，披露了一场正在进行的虚假信息运动的细节，该运动试图将诽谤和雨刷袭击归咎于至少九个月前的乌克兰团体。