被称为Shuckworm的俄罗斯威胁行为者继续对乌克兰实体进行网络攻击,试图从受损环境中窃取敏感信息。
赛门铁克在与the Hacker News分享的一份新报告中表示,最近的入侵目标始于2023年2月/ 3月,包括安全服务、军事和政府组织。
这家网络安全公司表示:“在某些情况下,这个俄罗斯组织成功地进行了长期入侵,持续时间长达三个月。”
“攻击者多次试图获取和窃取敏感信息,比如乌克兰军人死亡报告、敌方交战和空袭报告、武器库库存报告、训练报告等等。”
Shuckworm,也被称为Aqua Blizzard(以前的Actinium), Armageddon, Gamaredon, Iron Tilden, Primitive Bear, Trident Ursa, UNC530和winterflder,归因于俄罗斯联邦安全局(FSB)。据说至少从2013年就开始活跃了。
网络间谍活动包括鱼叉式网络钓鱼活动,旨在引诱受害者打开诱骗附件,最终导致在受感染主机上部署诸如Giddome, Pterodo, GammaLoad和GammaSteel等信息窃取程序。
Secureworks在其威胁参与者的简介中指出:“Iron Tilden牺牲了一些操作安全性,以支持高节奏的操作,这意味着他们的基础设施可以通过定期使用特定的动态DNS提供商、俄罗斯托管提供商和远程模板注入技术来识别。”
在赛门铁克详细介绍的最新一组攻击中,观察到该敌对组织使用新的PowerShell脚本通过USB驱动器传播Pterodo后门。
虽然Shuckworm使用Telegram频道来检索托管有效载荷的服务器的IP地址是有据可查的,但据说该威胁行为者扩展了该技术,将命令与控制(C2)地址存储在Telegram旗下的博客平台Telegraph上。
该组织还使用了一个PowerShell脚本(“foto.safe”),它可以通过受损的USB驱动程序传播,并具有将其他恶意软件下载到主机上的功能。
对入侵的进一步分析表明,攻击者设法侵入了目标组织的人力资源部门的机器,这表明它试图收集在这些实体工作的各种个人的信息。
这一发现再次表明,Shuckworm继续依赖于寿命较短的基础设施,并不断进化策略和工具,以保持在检测曲线上的领先地位。
就在一天前,微软披露了另一个俄罗斯民族国家行为体“军校暴雪”(Cadet Blizzard)针对乌克兰实施的破坏性攻击、间谍活动和信息行动。
赛门铁克表示:“这一活动表明,Shuckworm对乌克兰的不懈关注仍在继续。”“很明显,俄罗斯国家支持的攻击组织在继续瞄准乌克兰目标,试图找到可能有助于其军事行动的数据。”
声明:本文相关资讯来自Thehackernews,版权归作者所有,转载目的在于传递更多信息。如有侵权,请联系本站删除。
