今年早些时候,与俄罗斯有联系的Gamaredon组织试图在正在进行的俄乌战争期间侵入北约成员国的一家大型炼油厂,但未能如愿。成功的。这次攻击发生在2022年8月30日,是俄罗斯联邦安全局(FSB)的高级持续威胁(APT)精心策划的几次攻击之一。Gamaredon过去的攻击主要追踪乌克兰实体,并在较小程度上追踪北约盟国以获取敏感数据。PaloAltoNetworksUnit42在与黑客新闻分享的一份报告中表示,随着地面和网络空间冲突的继续,TridentUrsa一直充当专门的访问创建者和情报收集者。“TridentUrsa仍然是针对乌克兰的最普遍、侵入性、持续活跃和重点突出的APT之一。Unit42对该组织活动的持续监控发现了500多个新域、200个恶意软件样本,并且在一个月内,该公司多次改变战略以应对不断变化和扩大的优先事项。除了网络攻击之外,更大的安全社区据说还收到了来自Gamaredon涉嫌同伙的威胁性推文。其他值得注意的方法包括使用Telegram页面寻找命令和控制(C2)服务器,以及使用fast-fluxDNS在短时间内轮换多个IP地址,使基于IP的黑名单和删除变得更加困难。攻击本身需要在网络钓鱼电子邮件中交付嵌入式鱼叉式网络钓鱼武器化附件,以在受感染主机上部署VBScript后门,从而能够建立持久性并执行C2服务器提供的额外VBScript代码。同时,Gamaredon感染链使用地理封锁将攻击限制在特定位置,并利用投放器可执行文件启动下一阶段的VBScript有效负载,然后连接到C2服务器以执行进一步的命令。地理封锁机制充当安全盲点,因为它降低了攻击者在目标国家/地区之外进行攻击的能力可见性,使其活动更难追踪。研究人员表示:“TridentUrsa仍然是一种敏捷且适应性强的APT,在其操作中没有使用过于复杂的技术。”在大多数情况下,他们依靠公开可用的工具和脚本以及广泛的混淆和常规网络钓鱼尝试来成功执行他们的行动。”“
