今年早些時(shí)候，在持續(xù)的俄烏戰(zhàn)爭(zhēng)中，與俄羅斯有聯(lián)系的 Gamaredon 集團(tuán)試圖侵入北約成員國(guó)的一家大型石油精煉公司，但未獲成功。這次攻擊發(fā)生在 2022 年 8 月 30 日，是俄羅斯聯(lián)邦安全局 ( FSB ) 的高級(jí)持續(xù)威脅 (APT) 精心策劃的多次攻擊之一。

Gamaredon其過(guò)往攻擊主要是追蹤烏克蘭實(shí)體，并在較小程度上追蹤北約盟國(guó)以獲取敏感數(shù)據(jù)。

隨著地面和網(wǎng)絡(luò)空間的沖突持續(xù)，Trident Ursa 一直作為專(zhuān)門(mén)的訪問(wèn)創(chuàng)建者和情報(bào)收集者，Palo Alto Networks Unit 42在與黑客新聞分享的一份報(bào)告中表示?！癟rident Ursa 仍然是針對(duì)烏克蘭的最普遍、侵入性、持續(xù)活躍和集中的 APT 之一。

Unit 42 對(duì)該組織活動(dòng)的持續(xù)監(jiān)控發(fā)現(xiàn)了 500 多個(gè)新域、200 個(gè)惡意軟件樣本，并在過(guò)去 10 個(gè)月中多次改變其策略以應(yīng)對(duì)不斷變化和擴(kuò)大的優(yōu)先事項(xiàng)。

除了網(wǎng)絡(luò)攻擊之外，更大的安全社區(qū)據(jù)說(shuō)還收到了據(jù)稱(chēng)是 Gamaredon 同伙的威脅推文。

其他值得注意的方法包括使用 Telegram 頁(yè)面查找命令和控制 (C2) 服務(wù)器，以及使用快速通量 DNS在短時(shí)間內(nèi)輪換多個(gè) IP 地址，從而使基于 IP 的黑名單和刪除工作變得更加困難。

攻擊本身需要交付嵌入魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)電子郵件中的武器化附件，以在受感染主機(jī)上部署 VBScript 后門(mén)，該后門(mén)能夠建立持久性并執(zhí)行 C2 服務(wù)器提供的額外 VBScript 代碼。

同時(shí) Gamaredon 感染鏈利用地理封鎖將攻擊限制在特定位置，并利用釋放器可執(zhí)行文件啟動(dòng)下一階段的 VBScript 有效載荷，隨后連接到 C2 服務(wù)器以執(zhí)行進(jìn)一步的命令。地理封鎖機(jī)制起到了安全盲點(diǎn)的作用，因?yàn)樗档土斯粽咴谀繕?biāo)國(guó)家之外的攻擊可見(jiàn)性，使其活動(dòng)更難以追蹤。

研究人員表示：“Trident Ursa 仍然是一種敏捷且適應(yīng)性強(qiáng)的 APT，不會(huì)在其操作中使用過(guò)于復(fù)雜的技術(shù)。” “在大多數(shù)情況下，他們依靠公開(kāi)可用的工具和腳本以及大量的混淆和例行的網(wǎng)絡(luò)釣魚(yú)嘗試來(lái)成功執(zhí)行他們的操作?！?/p>