乌克兰 最近CERT-UA 计算机应急响应小组发布安全报告,提醒国内组织警惕俄罗斯相关网络间谍组织Armageddon APT(又名Gamaredon、Primitive Bear、Armageddon、Winterflounder或Iron Tilden)鱼叉网络钓鱼攻击。这些网络钓鱼信息自vadim_melnik88@i[的是用恶意软件感染目标系统。
Armageddon APT组织最早由美国科技公司赛门铁克(Symantec)和趋势科技(TrendMicro)2015年,该活动的证据甚至可以追溯到2013年。调查显示,乌克兰的政府和军事组织一直是该组织的关键目标。2019年12月,该组织攻击了几名乌克兰外交、政府、军事官员和执法部门。
202111月,乌克兰主要执法部门和反情报部门披露Armageddon APT俄罗斯联邦安全局组织背后五名成员的真实身份。
就在最近几天,乌克兰CERT-UA该小组再次发出警告。该组织以俄罗斯联邦战犯信息为诱饵,向当地政府机构发送电子邮件。使用这些信息html文件“War criminals of the Russian Federation.htm(俄罗斯联邦战犯)作为附件。当文件打开时,将创建一个名为Viyskovi_zlochinci_RU.rar”的rar归档文件。
在这个rar文件中有一个名字叫War criminals destroying Ukraine (home addresses,photos,phone numbers,pages on social networks) .lnk,(一旦打开战争罪破坏乌克兰家庭地址、照片、电话号码、社交网络页面 )的链接文件,恶意代码将下载 )vbscript代码的hta文件将下载并运行powershell脚本“get.php”(GammaLoad.PS1)。计算机的唯一标识符是根据脚本计算的。
到目前为止,乌克兰CERT-UA小组已经公布了这次攻击的妥协指标(IOC)。
参考来源:https://securityaffairs.co/wordpress/129859/apt/armageddon-apt-targets-ukrainian-state-orgs.html