俄罗斯黑客组织Gamaredon携最新武器回归,攻击目标还在搜索中

本文讲的是俄罗斯黑客组织Gamaredon携最新武器回归,攻击目标还在搜索中,根据外媒报道称,俄罗斯黑客组织Gamaredon回归,并在最新的网络间谍活动中使用定制开发的新型恶意软件。

Palo Alto Networks公司的安全研究人员表示,名为“Gamaredon”的俄罗斯黑客组织在最新针对乌克兰政府、军事及执法机构的网络间谍活动中使用了一款定制开发的新型恶意软件。

Gamaredon APT组织首次出现于2013年,去年LookingGlass的研究人员追踪了一场名为“Operation Armageddon” 的网络间谍活动细节,活动针对的为乌克兰实体。乌克兰国家安全局(SBU)曾针对此次网络攻击事件指责俄罗斯联邦安全局(FSB)。据悉,Gamaredon组织利用鱼叉式网络钓鱼邮件传播常见的远程访问工具(RATs),例如UltraVNC以及远程操作系统(RMS)。

如今,Palo Alto Networks公司的安全研究人员发现Gamaredon APT组织背后的攻击者已经开始使用一种新型的、定制开发的恶意软件进行攻击,而不再依靠常见的远程访问工具。

PaloAlto Networks公司发布的分析报告称:

过去,Gamaredon组织非常依赖现成的工具进行作业。但是我们最新的研究成果表明,该组织已经转向利用定制开发的恶意软件实施攻击活动。

据悉,该定制开发恶意软件具备的功能如下:

下载并执行他们选择的附加载荷的机制;
扫描特定文件类型的系统驱动器的能力;
捕捉截屏的能力;
在用户的安全性上下文环境内远程执行系统命令的能力;

该新型恶意软件非常复杂且能够躲避安全解决方案的检测。目前,安全专家并不确定最新的攻击行为是否是“Operation Armageddon”网络间谍活动的一部分,或者该组织是否已经开展了新的网络间谍活动。

Palo Alto Networks的分析报告称:

防恶意软件技术并没有检测出该组织开发的恶意软件。我们认为这可能是由于该恶意软件的模块化特性所致,该恶意软件大量使用批处理脚本,滥用合法的应用程序和工具(例如wget)进行恶意行为。

2016年2月,研究人员还发现了另一个自定义工具——Pteranodon,该工具也被添加到自解压文件(SFX)中为Gamaredon组织所用。

原文发布时间为:2017年3月2日

本文作者:小二郎 

本文来自合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。

原文链接

时间: 2024-09-28 06:03:09

俄罗斯黑客组织Gamaredon携最新武器回归,攻击目标还在搜索中的相关文章

俄罗斯黑客组织APT 29对挪威政府发动网络攻击,目的不是干预大选

本文讲的是俄罗斯黑客组织APT 29对挪威政府发动网络攻击,目的不是干预大选, 近日,挪威外交部.情报部.国家辐射防护局.工党议会以及一所学校受到了俄罗斯黑客组织APT 29的网络钓鱼攻击.挪威官方称尚未有敏感数据泄露. 挪威情报部门长官Arne Christian Haugstoyl在当地电视频道TV2的一次采访中提到: 我们的一个同盟国告知了我们正在被攻击,调查之后,发现我们情报部门的9个不同电子邮箱都受到了恶意钓鱼网络攻击,目前攻击的目的还不清楚. APT 29攻击挪威不是因为选举 挪威的

俄罗斯黑客组织公布第6批涉药名单 福原爱在列

10月3日,俄罗斯黑客组织"奇幻熊"在其官方网站更新第六批获得服药豁免权的运动员名单,其中包括澳大利亚游泳名将西姆博和日本乒乓球运动员福原爱.   在最新名单中,共有20名运动员获得服药豁免权,其中日本.美国各三人,瑞典.新西兰各两人,阿根廷.澳大利亚.巴西.加拿大.哥伦比亚.德国.法国.英国.委内瑞拉和南非各一人.     澳大利亚游泳名将艾米丽·西姆博被爆出服用强的松,一种肾上腺皮质激素类药物.1992年出生的西姆博在世界女子泳坛100米/200米自由泳项目中占统治地位,但在201

深度剖析俄罗斯黑客组织APT29的后门

本文讲的是深度剖析俄罗斯黑客组织APT29的后门,POSTSPY最大程度的利用了内置于Windows系统中的特性来设置隐蔽的后门,这些特性被称为"living off the land"(意思是入侵者使用系统凭据和合法的软件管理工具访问系统,感染和收集有价值的数据).POSHSPY使用WMI来存储后门代码,使其对不熟悉WMI机制的人不可见.PowerShell只有在合法系统过程能被执行,如果是恶意代码执行,能通过加强日志分析或者内存就可以发现. POSHSPY中的特点,如罕见的后门信标

德国官员称俄罗斯黑客组织APT28去年对其发动网络攻击

上周五,德国高级官员向路透社透露,德国去年阻止了两起APT28组织发起的网络攻击.APT28又名花式熊.Fancy Bear.Pawn Storm.Sednit.Sofacy和Strontium.美国网络安全公司FireEye认为,APT28是俄罗斯政府幕后支持的黑客组织,专攻军事机构和情报机构. 德国官员称俄罗斯黑客组织APT28去年对其发动网络攻击 - E安全 APT28在曾对德国发起多次网络攻击德国联邦信息安全局(BSI)局长阿恩·肖恩波姆表示,第一起攻击发生在2016年5月,黑客企图为总

黑客组织Anonymous接替Lulzsec发动新攻击

新浪科技讯 北京时间6月27日上午消息,虽然黑客组织Lulzsec上周宣布停止黑客攻击,但是另一黑客组织匿名者(Anonymous)通过发动新攻击将自己推到了攻击最前线. 匿名者向互联网上传了反网络恐怖主义培训文件,并声称该文件来自安全公司Sentinel Securities,而且更多有关安全和黑客攻击资源的文件和链接目前可以在互联网上免费进行访问. Sentinel Securities网站今年整个早上(澳大利亚东部标准时间)都无法访问,可能是紧急维护或者访问量过大导致.目前最大的受害者就是

俄罗斯间谍组织Pawn Storm新武器:Linux Fysbis木马

PaloAlto恶意软件研究员发现了一个名为Fysbis的木马,是俄罗斯政府支持的网络间谍组织Pawn Storm所使用的一个简单而有效的Linux木马. 还记得Pawn Storm黑客组织吗?其实它有很多名称,APT28.Sofacy.Sednit等都是这个组织的名字,据推断它至少从2007年就开始活跃了.而Pawn Storm这个名字是安全专家特指的一个大规模经济政治网络间谍行动,它的目标往往是军事.政府.媒体等.Pawn Storm组织在2015年第一季度有大量的活动,建立了大量的expl

俄罗斯黑客组织Lurk与Angler与Necurs僵尸网络之间存在关联

许多安全专家怀疑,俄罗斯警方5月底逮捕黑客组织Lurk与之后钓鱼攻击工具包Angler Exploit Kit不明所以的停止更新之间存在关联. Lurk黑客团伙被捕及随后的"巧合" 5月底,俄罗斯政府宣布,抓获涉嫌窃取4500万美元的黑客团伙,涉案人数多达50人,该网络犯罪组织名为Lurk,从2011年成型,开始攻击目标为一些组织和用户,大概在一年半之前,将目光转向银行,一共从银行和其他金融机构以及企业共盗窃超过4500万美元. 而就在逮捕发生一周后,一些安全公司宣布:Angler--

黑客组织LulzSec资深成员承认曾攻击Stratfor的服务器

据外媒报道,黑客组织LulzSec成员Jeremy Hammond日前承认,自己曾经攻击过安全公司Stratfor的服务器,并将内部文件发布到维基解密上.而在等待宣判之前,Hammond已经在监狱里带了一年多的时间. 据悉,Hammond将很有可能面临30年的监禁生活.      在新闻发布会上,Hammond表示那次的攻击行动只是自己"抗议"的一种形式:早前,他曾将自己跟已经去世的Aaron Swatz作比较.     自LulzSec首领Sabu被警方逮捕之后,在他的协助下,FBI

俄罗斯支持的DNC黑客组织对华盛顿智库发起攻击

据国防部官员透露,上周一个由俄罗斯所支持的黑客组织攻击了位于华盛顿,重点关注俄罗斯的智库团,该机构还曾是攻击民主党计算机网络的成员之一.犯罪者所在小组称为COZY BEAR,或APT29,根据两大网络安全公司之一的CrowdStrike创始人Dmitri Alperovitch的发言,DNC黑客组织需要对此次袭击事件负责. CrowdStrike发现了来自DNC的攻击并为智库提供安全服务. Alperovitch表示少于五个组织机构和10名研究俄罗斯的工作人员遭受到来自"极具针对性行动"