freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

新威胁组织GamaCopy模仿俄罗斯Gamaredon APT,针对俄语目标发起攻击
2025-01-27 12:28:26
所属地 上海

GamaCopy模仿俄罗斯Gamaredon APT,针对俄语目标发起攻击

近日,Knownsec 404高级威胁情报团队分析了一起针对俄语目标的攻击活动。攻击者使用军事主题的诱饵文档、7z自解压文件(SFX)作为载荷,并利用UltraVNC进行远程控制,模仿了俄罗斯Gamaredon APT组织的战术、技术和程序(TTPs)。研究人员将该活动与APT组织Core Werewolf(又名Awaken Likho、PseudoGamaredon)联系起来,由于它模仿了Gamaredon,因此研究人员将其命名为GamaCopy。

GamaCopy自2021年8月以来一直活跃,并于2023年6月被发现。该组织主要针对俄罗斯的国防和基础设施领域,模仿Gamaredon的TTPs。

Knownsec 404高级威胁情报团队在报告中指出:“通过追踪样本来源,我们将其与Core Werewolf组织关联起来,该组织曾多次对俄罗斯发起攻击。众所周知,在南亚地区存在另一对有趣的APT攻击组织,即SideWinder和SideCopy,它们之间存在着爱恨交织的关系。此次发现的攻击活动模仿了针对乌克兰的Gamaredon组织,因此可以将其命名为GamaCopy。”

GamaCopy的攻击手法与特点

研究人员注意到,其他安全厂商曾将多个同类型的历史样本归因于Gamaredon组织。GamaCopy通过成功的假旗行动,欺骗了一些未进行深入分析的安全厂商。

攻击链始于一个7-Zip自解压(SFX)文件,该文件释放载荷,包括一个用于安装UltraVNC并显示诱饵PDF的批处理脚本。攻击者将UltraVNC可执行文件重命名为“OneDrivers.exe”,试图模仿微软OneDrive二进制文件以逃避检测。

GamaCopy攻击中使用的诱饵文档主要围绕军事设施,反映了俄乌冲突的主题。然而,与Gamaredon使用乌克兰语诱饵不同,GamaCopy针对的是俄语用户。

image

研究人员对GamaCopy的评估

报告总结道:“从代码相似性、诱饵文档中的语言使用以及端口资产的角度来看,更倾向于将此次发现的攻击样本归因于GamaCopy组织。自曝光以来,该组织频繁模仿Gamaredon组织的TTPs,并巧妙地利用开源工具作为掩护,在实现自身目标的同时混淆公众视听。”

Knownsec 404团队还发布了此次攻击活动的入侵指标(IoCs)。

参考来源:

GamaCopy targets Russia mimicking Russia-linked Gamaredon APT

# 终端安全 # 安全报告
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者