今年早些時候，在持續(xù)的俄烏戰(zhàn)爭中，與俄羅斯有聯(lián)系的 Gamaredon 集團試圖侵入北約成員國的一家大型石油精煉公司，但未獲成功。這次攻擊發(fā)生在 2022 年 8 月 30 日，是俄羅斯聯(lián)邦安全局 ( FSB ) 的高級持續(xù)威脅 (APT) 精心策劃的多次攻擊之一。

Gamaredon其過往攻擊主要是追蹤烏克蘭實體，并在較小程度上追蹤北約盟國以獲取敏感數(shù)據(jù)。

隨著地面和網絡空間的沖突持續(xù)，Trident Ursa 一直作為專門的訪問創(chuàng)建者和情報收集者，Palo Alto Networks Unit 42在與黑客新聞分享的一份報告中表示?！癟rident Ursa 仍然是針對烏克蘭的最普遍、侵入性、持續(xù)活躍和集中的 APT 之一。

Unit 42 對該組織活動的持續(xù)監(jiān)控發(fā)現(xiàn)了 500 多個新域、200 個惡意軟件樣本，并在過去 10 個月中多次改變其策略以應對不斷變化和擴大的優(yōu)先事項。

除了網絡攻擊之外，更大的安全社區(qū)據(jù)說還收到了據(jù)稱是 Gamaredon 同伙的威脅推文。

其他值得注意的方法包括使用 Telegram 頁面查找命令和控制 (C2) 服務器，以及使用快速通量 DNS在短時間內輪換多個 IP 地址，從而使基于 IP 的黑名單和刪除工作變得更加困難。

攻擊本身需要交付嵌入魚叉式網絡釣魚電子郵件中的武器化附件，以在受感染主機上部署 VBScript 后門，該后門能夠建立持久性并執(zhí)行 C2 服務器提供的額外 VBScript 代碼。

同時 Gamaredon 感染鏈利用地理封鎖將攻擊限制在特定位置，并利用釋放器可執(zhí)行文件啟動下一階段的 VBScript 有效載荷，隨后連接到 C2 服務器以執(zhí)行進一步的命令。地理封鎖機制起到了安全盲點的作用，因為它降低了攻擊者在目標國家之外的攻擊可見性，使其活動更難以追蹤。

研究人員表示：“Trident Ursa 仍然是一種敏捷且適應性強的 APT，不會在其操作中使用過于復雜的技術。” “在大多數(shù)情況下，他們依靠公開可用的工具和腳本以及大量的混淆和例行的網絡釣魚嘗試來成功執(zhí)行他們的操作?！?/p>