| 关键词: 感染 Gamaredon 攻击 恶意 文档 黑客 受害者 文件 机上 这些 |
乌克兰计算机紧急响应小组 (CERT-UA) 警告称,Gamaredon 黑客攻击会进行快速攻击,在一小时内从被破坏的系统中窃取数据。 Gamaredon,又名 Armgeddon、UAC-0010 和 Shuckworm,据信是一个有俄官方背景的网络间谍黑客组织,其网络安全研究人员将其与 FSB(俄罗斯联邦安全局)联系起来,其成员是2014年叛逃到俄罗斯的前 SSU 军官。 自俄乌冲突开始以来,据信黑客组织对乌克兰政府和其他重要公共和私人组织进行了数千次攻击。 这些攻击的数据积累使 CERT-UA 能够概述该组织的攻击,并共享这些数据以帮助防御者检测和阻止网络渗透尝试。 Gamaredon攻击特性Gamaredon 攻击通常从通过 Telegram、WhatsApp、Signal 或其他 IM 应用程序发送到目标的电子邮件或消息开始。 最初的感染是通过欺骗受害者打开恶意附件 (例如伪装成 Microsoft Word 或 Excel 文档的 HTM、HTA 和 LNK 文件)来实现的。 一旦受害者启动恶意附件,PowerShell 脚本恶意软件 (通常是“GammaSteel”)就会被下载并在受害者的设备上执行。 初始感染步骤还会修改 Microsoft Office Word 模板 ,以便在受感染计算机上创建的所有文档都带有恶意宏,可以将 Gamaredon 的恶意软件传播到其他系统。 PowerShell 脚本以包含会话数据的浏览器 cookie 为目标,使黑客能够接管受两因素身份验证保护的在线帐户。 关于 GammaSteel 的功能,CERT-UA 表示它针对具有指定扩展名列表的文件,这些扩展名是:.doc、.docx、.xls、.xlsx、.rtf、.odt、.txt、.jpg、.jpeg、.pdf、 .ps1、.rar、.zip、.7z、.mdb。 如果攻击者对被入侵计算机上发现的文档感兴趣,他们会在 30 到 50 分钟内窃取这些文档。 Gamaredon 感染的另一个有趣的方面是,攻击者每周在受感染的系统上植入多达 120 个恶意受感染文件,以增加再次感染的可能性。 “如果在杀毒过程中,清理操作系统注册表、删除文件、计划任务等后,计算机上至少残留有一个受感染的文件或文档(很多时候用户在未检查的情况下重新安装操作系统并传输“必要”的文档) ,那么计算机很可能会再次被感染。” CERT-UA解释说。 插入受感染计算机端口的任何 USB 存储设备也将自动被 Gamaredon 的初始危害有效负载感染,从而可能进一步扩大对隔离网络的破坏。 最后,黑客每天更改中间受害者命令和控制(C2)服务器的 IP 地址三到六次,使防御者更难阻止或跟踪他们的活动。 目前,CERT-UA 表示,限制 Gamaredon 攻击有效性的最佳方法是阻止或限制 mshta.exe、wscript.exe、cscript.exe 和 powershell.exe 的未经授权执行。 |
| 本文出处: https://www.toutiao.com/article/7256579983416558095/ |
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|