杠上了!俄罗斯又对乌克兰出手

杠上了!俄罗斯又对乌克兰出手

上周,俄罗斯不仅加剧了在公海上对乌克兰的侵略,而且还对该国以及其它国家政府、私人实体进行了网络攻击。

网络安全公司Stealthcare是一家2015年创立的、旨在提供全方位服务的网络安全公司。其推出的Zero Day Live平台,自称为“世界上第一个完整的网络威胁情报聚合平台”。Stealthcare表示,类似的黑客组织Fancy Bear(使用各种Zebrocy变种和Cannon有效载荷)以及Cozy Bear(分发Cobalt Strike Beacon后门有效载荷)发起的攻击活动增加,另一个与俄罗斯有关的黑客组织Gamaredon也是如此。

Gamaredon黑客组织

俄罗斯黑客组织Gamaredon首次出现于2013年,去年相关研究人员追踪了一场名为“Operation Armageddon”的网络间谍活动细节,活动针对的是乌克兰实体部门。乌克兰国家安全局(SBU)曾针对此次网络攻击事件指责俄罗斯联邦安全局(FSB)。据悉,Gamaredon组织利用鱼叉式网络钓鱼邮件分发常见的远程访问工具(RATs),例如UltraVNC以及远程操作系统(RMS)。

杠上了!俄罗斯又对乌克兰出手

远程操纵系统界面

上月,网络安全公司PaloAlto Networks的安全研究人员的最新研究成果表明,Gamaredon APT组织背后的攻击者已经转向利用一种新型的、定制开发的恶意软件实施攻击活动,而非过去依赖现成的黑客工具进行攻击。

PaloAlto Networks公司发布的分析报告称,该定制开发恶意软件具备的功能如下:

下载并执行攻击者选择的附加载荷的机制;

扫描特定文件类型的系统驱动器的能力;

捕捉截屏的能力;

在用户的安全性上下文环境内远程执行系统命令的能力。

该新型恶意软件非常复杂且能够躲避安全解决方案的检测。目前,安全专家并不确定最新的攻击行为是否是“Operation Armageddon”网络间谍活动的一部分,或者该组织是否已经开展了新的网络间谍活动。

Pterodo后门攻击

“网络攻击与俄罗斯企图在全球范围内扩大苏联式霸权的努力保持一致——远远超出了与乌克兰之间的区域性海上冲突,”Stealthcare的首席执行官Jeremy Samide表示,他的威胁情报平台Zero Day Live发现了这些攻击。

“一名新的后门攻击者一直针对乌克兰政府机构,该后门被称为Pterodo,与黑客组织Gamaredon有关,该组织主要利用现成的软件进行攻击,并且主要针对乌克兰的军事和政府部门,”Samide说。

Pterodo是一个用来插入其他恶意软件和收集信息的自定义后门。最新版本只在Windows系统上激活,语言本地化为乌克兰语、白俄罗斯语、俄语、亚美尼亚语、阿塞拜疆语、乌兹别克语、鞑靼语和其他与前苏联国家有关的语言——这使得使用某些工具对恶意软件进行自动分析变得更加困难。根据CERT-UA公告,新版Pterodo根据被感染系统的硬盘序列号生成一个用于命令和控制的唯一URL。有关受感染系统的数据被上载到该URL,允许攻击者分析远程安装和运行哪些工具。到目前为止,与攻击相关的领域包括更新扩展工作。除了Gamaredon,它还和黑客组织Cozy Bear以及俄罗斯联邦安全局(FSB)有关系。

原创文章,作者:Gump,如若转载,请注明出处:http://www.mottoin.com/news/133023.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code