近日,乌克兰 CERT-UA 计算机应急响应小组发布了一份安全报告,提醒国内组织机构警惕俄罗斯相关的网络间谍组织Armageddon APT(又名Gamaredon、Primitive Bear、Armageddon、Winterflounder或Iron Tilden)发起的鱼叉式网络钓鱼攻击。这些网络钓鱼信息自“vadim_melnik88@i[”发起,其目的是用恶意软件感染目标系统。
Armageddon APT组织最早由美国科技公司赛门铁克(Symantec)和趋势科技(TrendMicro)于2015年发现,其活动证据甚至可以追溯至2013年。调查显示,乌克兰的政府和军事组织一向是该组织的目标重点目标。2019年12月,该组织曾针对几名乌克兰外交、政府和军事官员以及执法部门发动过攻击。
2021年11月,乌克兰主要执法部门和反情报部门披露了Armageddon APT组织背后五名俄罗斯联邦安全局成员的真实身份。
就在近些日子,乌克兰CERT-UA小组再次发出了警告。该组织正以“俄罗斯联邦战犯信息”为诱饵向当地政府机构发送电子邮件。这些信息使用html文件“War criminals of the Russian Federation.htm”(俄罗斯联邦战犯)作为附件。而该文件被打开时,将创建一个名为“Viyskovi_zlochinci_RU.rar”的rar归档文件。
在这个rar文件中包含一个名为“War criminals destroying Ukraine (home addresses, photos, phone numbers, pages on social networks) .lnk,”(战争罪摧毁乌克兰家庭地址、照片、电话号码、社交网络页面 )的链接文件,一旦打开,恶意代码将下载一个包含vbscript代码的hta文件,该文件将下载并运行powershell脚本“get.php”(GammaLoad.PS1)。而计算机的唯一标识符就是该脚本据其计算得出。
截至目前,乌克兰CERT-UA小组已经公布了本次攻击的妥协指标(IOC)。
参考来源
https://securityaffairs.co/wordpress/129859/apt/armageddon-apt-targets-ukrainian-state-orgs.html