新威胁组织GamaCopy模仿俄罗斯Gamaredon APT,针对俄语目标发起攻击
💡
原文中文,约1200字,阅读约需3分钟。
📝
内容提要
GamaCopy模仿俄罗斯Gamaredon APT,自2021年起活跃,主要针对俄语目标,使用军事主题诱饵和UltraVNC进行远程控制,攻击对象包括俄罗斯国防和基础设施。研究人员将其与Core Werewolf关联,并发布了入侵指标。
🎯
关键要点
- GamaCopy模仿俄罗斯Gamaredon APT,自2021年起活跃,主要针对俄语目标。
- 攻击者使用军事主题诱饵文档和UltraVNC进行远程控制,攻击对象包括俄罗斯国防和基础设施。
- 研究人员将GamaCopy与Core Werewolf组织关联,并发布了入侵指标。
- GamaCopy的攻击手法包括使用7-Zip自解压文件和伪装成微软OneDrive的UltraVNC可执行文件。
- 诱饵文档主要围绕军事设施,反映俄乌冲突主题,针对俄语用户。
- 研究人员评估认为此次攻击样本更倾向于归因于GamaCopy组织,且该组织频繁模仿Gamaredon的战术。
❓
延伸问答
GamaCopy是什么组织,它的主要目标是什么?
GamaCopy是一个模仿俄罗斯Gamaredon APT的组织,自2021年起活跃,主要针对俄语用户,尤其是俄罗斯的国防和基础设施领域。
GamaCopy使用了哪些攻击手法?
GamaCopy使用军事主题诱饵文档、7-Zip自解压文件和UltraVNC进行远程控制,攻击者还将UltraVNC伪装成微软OneDrive以逃避检测。
GamaCopy与Gamaredon的关系是什么?
GamaCopy模仿Gamaredon的战术、技术和程序(TTPs),因此被认为与Gamaredon有密切关系,并且频繁模仿其攻击手法。
GamaCopy的诱饵文档主要内容是什么?
GamaCopy的诱饵文档主要围绕军事设施,反映俄乌冲突的主题,专门针对俄语用户。
研究人员如何评估GamaCopy的攻击样本?
研究人员通过代码相似性、诱饵文档中的语言使用和端口资产等方面评估,认为此次攻击样本更倾向于归因于GamaCopy组织。
GamaCopy的入侵指标是什么?
Knownsec 404团队发布了GamaCopy攻击活动的入侵指标(IoCs),以帮助识别和防范该组织的攻击。
➡️
