今年早些时候,在持续的俄乌战争中,与俄罗斯有联系的 Gamaredon 集团试图侵入北约成员国的一家大型石油精炼公司,但未获成功。这次攻击发生在 2022 年 8 月 30 日,是俄罗斯联邦安全局 ( FSB ) 的高级持续威胁 (APT) 精心策划的多次攻击之一。
Gamaredon其过往攻击主要是追踪乌克兰实体,并在较小程度上追踪北约盟国以获取敏感数据。
随着地面和网络空间的冲突持续,Trident Ursa 一直作为专门的访问创建者和情报收集者,Palo Alto Networks Unit 42在与黑客新闻分享的一份报告中表示。“Trident Ursa 仍然是针对乌克兰的最普遍、侵入性、持续活跃和集中的 APT 之一。
Unit 42 对该组织活动的持续监控发现了 500 多个新域、200 个恶意软件样本,并在过去 10 个月中多次改变其策略以应对不断变化和扩大的优先事项。
除了网络攻击之外,更大的安全社区据说还收到了据称是 Gamaredon 同伙的威胁推文。
其他值得注意的方法包括使用 Telegram 页面查找命令和控制 (C2) 服务器,以及使用快速通量 DNS在短时间内轮换多个 IP 地址,从而使基于 IP 的黑名单和删除工作变得更加困难。
攻击本身需要交付嵌入鱼叉式网络钓鱼电子邮件中的武器化附件,以在受感染主机上部署 VBScript 后门,该后门能够建立持久性并执行 C2 服务器提供的额外 VBScript 代码。
同时 Gamaredon 感染链利用地理封锁将攻击限制在特定位置,并利用释放器可执行文件启动下一阶段的 VBScript 有效载荷,随后连接到 C2 服务器以执行进一步的命令。地理封锁机制起到了安全盲点的作用,因为它降低了攻击者在目标国家之外的攻击可见性,使其活动更难以追踪。
研究人员表示:“Trident Ursa 仍然是一种敏捷且适应性强的 APT,不会在其操作中使用过于复杂的技术。” “在大多数情况下,他们依靠公开可用的工具和脚本以及大量的混淆和例行的网络钓鱼尝试来成功执行他们的操作。”