Over 10 years we help companies reach their financial and branding goals. Engitech is a values-driven technology agency dedicated.

Gallery

Contacts

411 University St, Seattle, USA

engitech@oceanthemes.net

+1 -800-456-478-23

工控安全 网络安全

俄罗斯黑客在乌克兰战争期间瞄准了北约国家的炼油厂

2022年早些时候,在正在进行的俄乌战争中,与俄罗斯有联系的 Gamaredon 组织试图侵入北约成员国内的一家大型炼油公司,但未成功。

这次攻击发生在 2022 年 8 月 30 日,只是俄罗斯联邦安全局 (FSB) 精心策划的 多次 APT 入侵之一。

Gamaredon,也被称“为锕系”、“世界末日”、“铁蒂尔登”、“原始熊”、“树虫”、“三叉戟熊’和”冬比目鱼”,其历史事迹主要是以乌克兰实体为目标,并在较小程度上瞄准北约盟国收集敏感数据。

随着冲突在地面和网络空间的持续,Gamaredon 一直在作为专门的访问创造者和情报收集者运作,Gamaredon仍然是针对乌克兰的最普遍、最具侵入性、持续活跃和最集中的 APT 之一。

Unit 42 对该集团活动的持续监控已经发现了500多个新域,200个恶意软件样本,以及过去10个月中为应对不断变化和扩大的优先事项而采取策略的多次转变。

除了网络攻击之外,在 2022 年 2 月军事入侵前几天,安全研究人员一直收到据称是 Gamaredon 同伙的威胁推文,突显了对手采用的恐吓技术。

其他值得注意的攻击方法包括使用 Telegram 页面查找 C2 服务器和快速通量 DNS 在短时间内轮换多个 IP 地址,使基于 IP 的拒绝列表和删除工作更加困难。

攻击本身需要传递嵌入在鱼叉式网络钓鱼电子邮件中的武器化附件,以在受感染的主机上部署 VBScript 后门,该后门能够建立持久性并执行 C2 服务器提供的其他 VBScript 代码。

安全研究人员还观察到 Gamaredon 感染链利用地理封锁将攻击限制在特定位置,同时利用投放器可执行文件启动下一阶段的 VBScript 有效负载,这些有效负载随后连接到 C2 服务器以执行进一步的命令。

地理封锁机制起到安全盲点的作用,因为它降低了威胁行为者在目标国家/地区之外的攻击的可见性,并使其活动更难跟踪。

研究人员最终表示,“ Gamaredon 仍然是一种敏捷和适应性强的APT,在其操作中不会使用过于复杂的技术,在大多数情况下,他们依靠公开可用的工具和脚本 – 以及大量的混淆技术 – 以及常规的网络钓鱼尝试来执行他们的操作。”