乌克兰CERT-UA警告，俄相关APT组织正攻击乌克兰国家机构

近日，乌克兰 CERT-UA 计算机应急响应小组发布了一份安全报告，提醒国内组织机构警惕俄罗斯相关的网络间谍组织Armageddon APT(又名Gamaredon、Primitive Bear、Armageddon、Winterflounder或Iron Tilden)发起的鱼叉式网络钓鱼攻击。这些网络钓鱼信息自“vadim_melnik88@i[”发起，其目的是用恶意软件感染目标系统。

Armageddon APT组织最早由美国科技公司赛门铁克(Symantec)和趋势科技(TrendMicro)于2015年发现，其活动证据甚至可以追溯至2013年。调查显示，乌克兰的政府和军事组织一向是该组织的目标重点目标。2019年12月，该组织曾针对几名乌克兰外交、政府和军事官员以及执法部门发动过攻击。

2021年11月，乌克兰主要执法部门和反情报部门披露了Armageddon APT组织背后五名俄罗斯联邦安全局成员的真实身份。

就在近些日子，乌克兰CERT-UA小组再次发出了警告。该组织正以“俄罗斯联邦战犯信息”为诱饵向当地政府机构发送电子邮件。这些信息使用html文件“War criminals of the Russian Federation.htm”（俄罗斯联邦战犯）作为附件。而该文件被打开时，将创建一个名为“Viyskovi_zlochinci_RU.rar”的rar归档文件。

在这个rar文件中包含一个名为“War criminals destroying Ukraine (home addresses, photos, phone numbers, pages on social networks) .lnk,”(战争罪摧毁乌克兰家庭地址、照片、电话号码、社交网络页面)的链接文件，一旦打开，恶意代码将下载一个包含vbscript代码的hta文件，该文件将下载并运行powershell脚本“get.php”(GammaLoad.PS1)。而计算机的唯一标识符就是该脚本据其计算得出。

截至目前，乌克兰CERT-UA小组已经公布了本次攻击的妥协指标（IOC）。

参考来源：

https://securityaffairs.co/wordpress/129859/apt/armageddon-apt-targets-ukrainian-state-orgs.html