黑客组织Gamaredon针对乌克兰发起网络钓鱼攻击

关注乌克兰网络攻击的安全研究人员发布报告称，俄罗斯黑客组织Gamaredon继续以乌克兰为目标，对其发起网络钓鱼攻击。据了解，最近一波攻击发生在 2022 年 7 月 15 日至 8 月 8 日之间，黑客组织通过自解压7zip文件试图感染乌克兰目标，使用VBS下载器部署后门，最终窃取录音、屏幕截图、键击和敏感文件等。

关于黑客组织Gamaredon

Gamaredon（又名 Armageddon 或 Shuckworm），是一个据称来自俄罗斯的黑客组织。自2014年以来一直保持活跃，主要攻击目标是与乌克兰政府存在可能关联的个人，该组织已经对该国关键公共设施和私营实体的数千次袭击负责。

Gamaredon主要通过发送鱼叉式网络钓鱼电子邮件来分发屏幕截图和文件窃取工具，恶意附件通常是SFX格式的压缩文件。为了保证病毒能够在受感染服务器上长久存活，通常还会利用到计划任务（crontab）程序。

事件详情

自 2022 年 2 月俄罗斯入侵以来，Gamaredon黑客组织针对乌克兰目标的活动有所升级，包括网络钓鱼攻击和新型恶意软件变种的部署。根据Broadcom Software 发布的一份报告，在战争的第 6 个月，Gamaredon 的网络攻击活动有增无减。

2022年7月15日至8月8日之间，俄罗斯Gamaredon组织针对乌克兰目标发起了新的攻击。感染媒介涉及带有自解压 7-Zip 存档的网络钓鱼邮件，该存档从与 Gamaredon 关联的“xsph.ru”子域获取 XML 文件，XML 文件会执行 PowerShell 信息窃取程序。此外，安全研究人员在其中发现了几个稍有修改的变体，很可能是为了逃避检测。

此外，俄罗斯黑客使用 VBS 下载器来获取 Pterodo 后门，这是 Gamaredon 的商标工具之一。在某些情况下，还获取了 Giddome 后门。这些后门允许攻击者使用主机的麦克风录制音频、从桌面截取屏幕截图、记录和泄露击键，或者下载和执行额外的“.exe”和“.dll”有效负载。最后，在最近的活动中，Gamaredon组织部署了合法的远程桌面协议工具“Ammyy Admin”和“AnyDesk”。

上周，乌克兰的计算机应急响应小组 (CERT-UA)也报告了Gamaredon 最近的活动，此前他们发现了一个新的网络钓鱼活动，该活动依赖于从受感染的电子邮件帐户发送的 HTM 附件。CERT-UA还报告了 PowerShell 信息窃取者试图窃取存储在 Web 浏览器上的数据。

乌克兰网络安全机构发现，Gamaredon 尝试使用特制宏修改主机上的“Normal.dotm”文件。主机的 Normal.dotm 文件(CERT-UA)上的远程模板注入此文件是默认的 Microsoft Word 模板，因此对其进行修改可能会使在受感染计算机上创建的所有文档都带有恶意代码。通过这样做，受害者成为新的感染源和高质量的感染源，因为不知情的收件人更有可能打开他们信任的发件人的文件。

防范网络钓鱼攻击的方法

1、给电脑浏览器程序安装补丁，保持补丁在最新状态。

2、不要点击任何不明的超链接。为了防止网络钓鱼，用户可以在地址栏中亲自输入这些信息，或将网址粘贴到一个浏览器程序窗口的地址栏中打开。

3、对于要求重新输入账号信息，否则要停掉信用卡账号之类的邮件不予理睬。

网络钓鱼攻击的危害范围逐渐扩大，成为最具威胁的网络安全事件。一些受害者遭到网络钓鱼后蒙受经济上的损失，也给企业带来品牌形象的损伤，危害了公众利益，影响公众应用互联网的信息。因此，大家要提高警惕，小心防范网络钓鱼攻击。