近日，烏克蘭 CERT-UA 計(jì)算機(jī)應(yīng)急響應(yīng)小組發(fā)布了一份安全報(bào)告，提醒國內(nèi)組織機(jī)構(gòu)警惕俄羅斯相關(guān)的網(wǎng)絡(luò)間諜組織Armageddon APT(又名Gamaredon、Primitive Bear、Armageddon、Winterflounder或Iron Tilden)發(fā)起的魚叉式網(wǎng)絡(luò)釣魚攻擊。這些網(wǎng)絡(luò)釣魚信息自“vadim_melnik88@i[”發(fā)起，其目的是用惡意軟件感染目標(biāo)系統(tǒng)。

Armageddon APT組織最早由美國科技公司賽門鐵克(Symantec)和趨勢(shì)科技(TrendMicro)于2015年發(fā)現(xiàn)，其活動(dòng)證據(jù)甚至可以追溯至2013年。調(diào)查顯示，烏克蘭的政府和軍事組織一向是該組織的目標(biāo)重點(diǎn)目標(biāo)。2019年12月，該組織曾針對(duì)幾名烏克蘭外交、政府和軍事官員以及執(zhí)法部門發(fā)動(dòng)過攻擊。

2021年11月，烏克蘭主要執(zhí)法部門和反情報(bào)部門披露了Armageddon APT組織背后五名俄羅斯聯(lián)邦安全局成員的真實(shí)身份。

就在近些日子，烏克蘭CERT-UA小組再次發(fā)出了警告。該組織正以“俄羅斯聯(lián)邦戰(zhàn)犯信息”為誘餌向當(dāng)?shù)卣畽C(jī)構(gòu)發(fā)送電子郵件。這些信息使用html文件“War criminals of the Russian Federation.htm”(俄羅斯聯(lián)邦戰(zhàn)犯)作為附件。而該文件被打開時(shí)，將創(chuàng)建一個(gè)名為“Viyskovi_zlochinci_RU.rar”的rar歸檔文件。

在這個(gè)rar文件中包含一個(gè)名為“War criminals destroying Ukraine (home addresses, photos, phone numbers, pages on social networks) .lnk,”(戰(zhàn)爭(zhēng)罪摧毀烏克蘭家庭地址、照片、電話號(hào)碼、社交網(wǎng)絡(luò)頁面 )的鏈接文件，一旦打開，惡意代碼將下載一個(gè)包含vbscript代碼的hta文件，該文件將下載并運(yùn)行powershell腳本“get.php”(GammaLoad.PS1)。而計(jì)算機(jī)的唯一標(biāo)識(shí)符就是該腳本據(jù)其計(jì)算得出。

截至目前，烏克蘭CERT-UA小組已經(jīng)公布了本次攻擊的妥協(xié)指標(biāo)(IOC)。

參考來源：https://securityaffairs.co/wordpress/129859/apt/armageddon-apt-targets-ukrainian-state-orgs.html