俄罗斯 “鱼叉” 组织利用 WinRAR 漏洞对乌克兰投放 “伽马蠕虫” 和 “伽马钢铁” 恶意软件
- 浏览次数 134
- 喜欢 0
俄罗斯黑客组织 “鱼叉”(Gamaredon)持续利用 WinRAR 漏洞,投放多种旨在窃取数据和传播的恶意软件。
据安全公司 Sekoia 称,此次攻击利用了 WinRAR 中的路径遍历漏洞 CVE - 2025 - 8088,将其武器化以启动名为 GammaPhish 的 HTML 应用程序有效载荷,然后该程序会检索一个名为 GammaLoad 的中间 Visual Basic 脚本(VBScript)下载器。法国这家网络安全公司于 2026 年 1 月观测到了这一感染链。
Sekoia 表示:“他们的主要目标是识别主机系统特征,使用死信投递解析器(DDRs)更新注册表中的网络配置,并从命令与控制(C2)服务器获取并执行任意 VBScript 有效载荷。”
其中一种有效载荷是名为 “伽马蠕虫”(GammaWorm)的 VBScript 蠕虫,它通过计划任务实现持久化,旨在隐藏网络共享和 USB 驱动器中的合法目录,并用恶意的 Windows 快捷方式(LNK)文件替代,从而执行从 C2 服务器获取的任意代码。
为解析其 C2,“伽马蠕虫” 通过 curl 向硬编码的 Telegram 公开频道发起 GET 请求。通过使用 Telegram 这样的合法平台,黑客试图混入常规流量,躲避检测,维持长期的间谍活动。“伽马蠕虫” 还依靠 NTFS 备用数据流(ADS)技术隐藏其核心模块。
通过 GammaLoad 投放的另一种恶意软件是模块化信息窃取程序 “伽马钢铁”(GammaSteel),它会捕获特定扩展名的文件,并将其泄露到亚马逊云服务(AWS)的 S3 存储桶,或作为备用机制发送到攻击者控制的服务器。
Sekoia 称,根据威胁行为者的目标,这种感染序列还可用于分发其他恶意软件,如 GammaWipe(又名 GamaWiper)。
报告指出:“‘伽马蠕虫’的确切部署方式尚不明确,可能由 GammaLoad 同时释放,也可能由用户执行恶意 USB 驱动器独立引入。此外,通过评估整体执行流程,我们高度确信 GammaPhish 旨在首先部署 GammaLoad。”
“鱼叉” 是一个俄罗斯政府支持的入侵组织,官方认定其与联邦安全局(FSB)有关,该组织长期以来一直针对乌克兰,特别是政府、军事和关键基础设施实体,通过包含恶意附件(此次是诱杀型 RAR 压缩包)的鱼叉式网络钓鱼邮件发动攻击。
Sekoia 表示:“这一感染链展现出强大、大规模且高度混淆的模块化设计。由于其适应性以及操作人员动态更新配置的能力,这种架构极有可能在未来再次被使用。”
与此同时,UAC - 0184 也针对乌克兰军事相关目标,通过 LNK 诱饵投放与名为 PassMark BurnInTest 的合法程序相关的可执行文件。另一个针对乌克兰的威胁活动集群是 UAC - 0247(之前被追踪为 UAC - 0244),该组织专门针对无人机操作员,通过 ZIP 压缩包部署 HTML 应用程序(HTA)下载器,以及能够建立反向 shell 连接到攻击者控制基础设施的后门程序。
威胁追踪人员还记录了 PixyNetLoader 的演变,这是一种与 APT28 相关的恶意软件加载器,利用微软 Office 漏洞(CVE - 2026 - 21509)的攻击活动来提取 COVENANT Grunt 植入程序。据 ExaTrack 称,自 2024 年 12 月以来,该恶意软件家族已在野外被检测到,最近一次迭代于 2026 年 4 月 15 日被发现。
消息来源:thehackernews.com;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文