可用-黑客

俄罗斯黑客继续使用 Infostealer 恶意软件攻击乌克兰实体

  • 浏览次数 11622
  • 喜欢 0
  • 评分 12345

Hackernews 编译,转载请注明出处:

hacking-code

俄罗斯国家支持的黑客继续用窃取信息的恶意软件打击乌克兰实体,这被怀疑是间谍行动的一部分。

Broadcom Software旗下公司Symantec将这场恶意活动归因于跟踪Shuckworm的黑客,也称为ActiniumArmageddon、Gamaredon、Primitive Bear和Trident Ursa。乌克兰计算机应急小组(CERT-UA)证实了这些发现。

该黑客自2013年以来一直活跃,因明确针对乌克兰的公共和私人实体而闻名。自2022年末俄罗斯军事入侵以来,攻击事件不断升级。

据说,最新的一系列攻击已于2022年7月15日开始,一直持续到8月8日,感染链利用伪装成通讯和战斗命令的网络钓鱼电子邮件,最终部署了名为GammaLoad.PS1_v2的PowerShell窃取者恶意软件。

同时,还向受损机器交付了两个后门,分别名为Giddome和Pterodo,这两个后门都是典型的Shuckworm工具,攻击者不断重新开发,旨在领先检测标准。

hack

Pterodo的核心是一种Visual Basic Script(VBS)dropper恶意软件,具有执行PowerShell脚本、使用计划任务(shtasks.exe)来保持持久性,以及从命令和控制服务器下载其他代码的功能。

另一方面,Giddome植入物具有多种功能,包括录制音频、捕获屏幕截图、记录击键,以及在受感染主机上检索和执行任意可执行文件。

这些入侵行为通过从受感染账户分发的电子邮件发生,进一步利用Ammyy Admin和AnyDesk等合法软件来促进远程访问。

这一发现是因为Gamaredon黑客与一系列旨在启动GammaLoad.PS1交付链的社会工程攻击有关,使攻击者能够窃取存储在Web浏览器中的文件和凭据。

调查结果是在CERT-UA发出警报后公布的,该警报警告称,“系统性、大规模和地理分散的”网络钓鱼攻击涉及使用名为RelicRace的.NET下载程序来执行FormbookSnake Keylogger等有效负载。

 

消息来源:TheHackerNews,译者:Shirley;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc ” 并附上原文