找回密码
 立即注册
搜索

Gamaredon 利用 WinRAR 漏洞对乌克兰目标发起模块化间谍攻击

作者:admin | 时间:2026-6-6 09:50:24 | 阅读:67| 显示全部楼层

马上注册,让你轻松玩转程序园

您需要 登录 才可以下载或查看,没有账号?立即注册

x
Gamaredon 利用 WinRAR 漏洞向乌克兰目标投递近乎无文件的模块化恶意软件,将载荷隐藏在 Windows 数据流中,并通过 Telegram 解析 C2 地址。

Sekoia 的威胁检测与研究团队于 2025 年 12 月底发布了一条 YARA 规则,用于搜寻新的初始访问向量。到 2026 年 1 月,该规则已产生十几次命中。Sekoia 研究人员发现了一条 Gamaredon 的感染链,其模块化程度、隐蔽性和持久性均超过该组织此前公开的任何攻击。本文为三部分系列的第一部分;第二、三部分将分别介绍 GammaLoad 和 GammaSteel。

与俄罗斯有关的 APT 组织 Gamaredon(又名 Armageddon、Primitive Bear、ACTINIUM、Callisto)自 2014 年以来一直活跃,其活动主要针对乌克兰。

该组织被乌克兰安全局认定为与 FSB 有关联。它最初使用 Remote Manipulator System RAT 等现成工具,随后转向名为 Pteranodon 的自定义框架,并逐渐分裂为多个独立的模块化恶意软件家族。Sekoia 现已使用“Gamma”前缀统一命名:GammaPhish 负责初始访问,GammaLoad 负责 staging,GammaWorm 负责传播,GammaSteel 负责数据窃取,GammaWipe 负责破坏。该组织十年来目标未变,只是变得更善于隐藏。

2026 年 1 月,专家观察到威胁行为者使用了一个武器化的 XHTML 文件,很可能通过鱼叉式钓鱼附件投递。打开该文件会静默触发一个指向 Supabase 端点的 1×1 像素跟踪请求,向攻击者确认受害者打开了诱饵。这种跟踪技术至少可追溯到 2018 年,这说明只要基础手段仍然有效,Gamaredon 就几乎不需要创新。

随后,该 XHTML 文件利用 HTML 走私技术投递一个 RAR 压缩包,该压缩包利用了 CVE-2025-8088 漏洞——这是一个 WinRAR 中的关键路径遍历漏洞,已在 7.13 版本中修复。该压缩包看似只包含一个 PDF 文件。

Sekoia 发布的报告指出:「GammaPhish(初始访问):通过基于 YARA 的狩猎,我们识别出一组武器化的 xHTML 文件,它们分发恶意的 RAR 压缩包。该压缩包利用 CVE-2025-8088 漏洞将一个隐藏的 HTA 文件直接解压到用户的 Windows 启动目录中。执行时,该 HTA 文件会利用 mshta.exe 调用托管在 C2 服务器上的远程载荷。」

该压缩包实际包含两个文件:一个可见的诱饵文件,以及一个利用路径遍历直接解压到用户 Windows 启动文件夹中的 HTA 文件。下次登录时,Windows 会自动执行它。谷歌威胁情报小组在同一时间段内记录了 Sandworm、Turla 和 Gamaredon 利用同一漏洞的情况,这表明该漏洞公开后在俄罗斯各攻击者之间快速传播。

该 HTA 文件运行 mshta.exe,并附带一个包含 www.bbc.com 的 URL,使其在网络日志中看似合法。该 URL 获取 GammaLoad,即中间的 staging 层。由于测试期间 C2 服务器无响应,Sekoia 未能直接从该阶段获取 GammaLoad,但来自受害主机的取证工件补全了全貌。

报告继续写道:「GammaLoad(Staging):我们从受害主机中恢复了多个 VBScript 加载器。这些加载器似乎以连续级联的方式运行,我们在分析中观察到四个不同的执行阶段。它们的主要目标是:对主机系统进行指纹识别、使用死信解析器(DDR)更新注册表中的网络配置、从 C2 服务器获取并执行任意的 VBScript 载荷。」

GammaWorm 是传播组件,也是技术上最有趣的部分。它是一个 VBScript 载荷,去混淆后代码超过 20000 行,其中绝大部分是旨在消耗分析人员精力的垃圾代码。它不投递传统文件,而是将其核心模块写入 NTFS 备用数据流(ADS)——这是 Windows 的一个原生特性,允许数据不可见地附加在文件夹路径上,标准目录列表无法显示,用户可见的文件大小也不体现这些数据。普通的 dir 命令无法显示它们。

该恶意软件通过三个计划任务维持持久性,这些任务借用了合法 Windows 服务的名称:DiskDiagnosticDataCollector、SilentCleanup 和 SmartRetry。每个任务以 7 到 10 分钟的短间隔执行不同的 ADS 模块。GammaWorm 还会写入一个 RunOnce 注册表项,在每次用户登录时重新创建自身——因为 GammaWorm 会在 RunOnce 条目被删除之前重写该键值。相当巧妙。

传播模块针对 USB 驱动器和网络共享。它将真实文件夹的属性设置为“隐藏”和“系统”,然后用同名的恶意 LNK 快捷方式文件替换它们,并使用相同的文件夹名称和图标。点击 LNK 会在资源管理器中打开真实文件夹,因此用户看不出任何异常,同时静默执行 ~.gif——这是每个受感染驱动器根目录下的蠕虫文件。诱饵 LNK 的文件名采用乌克兰语,涵盖从“草稿 letter.doc”、“分发 sheet.doc”等公文类名称到故意令人震惊、旨在诱使用户点击的文件名。国家级攻击者和社会工程学同样精通。

为了找到其 C2 地址,GammaWorm 对硬编码的公共 Telegram 频道执行 curl 命令,解析 HTML 以获取混淆后的 IP 地址,并通过随机化的 HTTP 头部(具体位于 User-Agent 字符串中)回传受害主机的机器指纹。没有请求体,只有头部。

C2 解析链本身是多层的:它依次经过 graph.org、Cloudflare Workers、Teletype、Telegra.ph 和 Telegram,最终到达攻击者控制的服务器。每个解析出的 URL 都会写入注册表,供下一阶段读取。如果 C2 返回 HTTP 200,它会执行响应体中的任意 VBScript。如果返回 404,这实际上是一次配置更新——没错,他们将 404 响应重新用作信号机制。

Sekoia 表示:「这条感染链展现了一个弹性的、庞大的、高度混淆的模块化设计。由于其适应性以及攻击者动态更新配置的能力,该架构极有可能在未来被再次使用。」

Sekoia 的这一评估并非猜测:该链的每一个阶段都独立保留了获取并执行任意远程代码的能力,这意味着即使防御者清理了一个层面,其他层面仍会继续运行。

该组织「还长期使用某些技术,例如嵌入 1×1 跟踪像素以确认受害者互动、利用压缩包路径遍历漏洞,以及通过 USB 驱动器进行物理传播」。

其延续性令人震惊。新变化在于基础设施的隐蔽性:几乎完全在内存中运行、将载荷存储在 ADS 中、通过 Telegram 和 Cloudflare 解析 C2、通过 HTTP 头部而非请求体窃取数据。Sekoia 指出,对于任何确认被该链感染的主机,最安全的修复路径是彻底重装系统,因为 GammaWorm 的死信解析机制使得攻击者推送新载荷的速度快于清理尝试的速度。

IOC(包括 GammaPhish 和 GammaWorm 的文件哈希值、死信解析器 URL 以及唯一已确认的 C2 IP)已在 Sekoia 报告末尾公布。完整的指标集(包括网络基础设施)可通过 Sekoia 的情报订阅获取。

报告总结道:「有趣的是,尽管 Gamaredon 引入了新能力,它们仍然持续回收利用旧战术。然而,这次攻击活动标志着 Gamaredon 较此前记录的攻击在技术上显著升级。向几乎完全无文件、由 VBScript 驱动的『套娃』架构的明确过渡,加上对 NTFS 备用数据流(ADS)的大量滥用,表明其付出了协同努力,以绕过自动化沙箱、增加取证取证难度,并最终消耗防御者的精力。」

security-265130_%e5%8f%af%e7%94%a8.jpg

您需要登录后才可以回帖 登录 | 立即注册
黑客现已利用关键 Oracle E-Business 漏洞发起攻击
黑客现已利用关键 Oracle E-Business 漏洞发起攻击
据威胁情报公司 Defused 称,攻击者已开始利用 Oracle E-Business Suite (EBS) 财务应用程序中的一个关键漏
关键 SimpleHelp 漏洞被利用以部署新型窃密恶意软件
关键 SimpleHelp 漏洞被利用以部署新型窃密恶意软件
黑客正在利用 SimpleHelp 中一个最近披露的关键漏洞(CVE-2026-48558)来部署 Djinn Stealer,这是一种此前
美国查封数百个 FIFA 世界杯非法流媒体域名
美国查封数百个 FIFA 世界杯非法流媒体域名
美国司法部刑事局查封了近 400 个用于非法流媒体播放 FIFA 世界杯比赛的网站域名。这些网站向访问者提供 20
Microsoft 将 Mastra AI 供应链攻击归因于朝鲜黑客
Microsoft 将 Mastra AI 供应链攻击归因于朝鲜黑客
Microsoft 将最近导致超过 140 个 npm 软件包受损的 Mastra AI 供应链攻击归因于朝鲜黑客组织 Sapphire Sle
Siemens 称 Desigo CC 文件被安全引擎标记为恶意软件
Siemens 称 Desigo CC 文件被安全引擎标记为恶意软件
Siemens 正在通知客户,其 Desigo CC 楼宇管理系统的补丁文件被多个网络安全解决方案错误地标记为恶意软件
日本能源公司丢失存储有 1090 万客户数据的硬盘
日本能源公司丢失存储有 1090 万客户数据的硬盘
九州电力株式会社披露了一起物理安全事件,影响了超过 1000 万客户的隐私数据。 在一份官方公告中,该公司
The Gentlemen 勒索软件声称有 478 名受害者,可像蠕虫一样传播
The Gentlemen 勒索软件声称有 478 名受害者,可像蠕虫一样传播
对 The Gentlemen 行动的一项新分析显示,这个以经济为动机的威胁组织最初是作为附属机构运营的,负责实施
Silent Ransom Group 通过虚假 IT 支持电话攻击律师事务所
Silent Ransom Group 通过虚假 IT 支持电话攻击律师事务所
根据网络安全公司 Mandiant 的一份最新报告,Silent Ransom Group 勒索团伙正在积极针对美国的律师事务所和
皇家山大学确认遭入侵,黑客声称对攻击负责
卡尔加里的皇家山大学表示,黑客在入侵该校网络后,从其文件存储系统中窃取并删除了数
严重漏洞暴露 GitHub Agentic Workflows 面
Noma Labs 警告称,GitHub Agentic Workflows 中存在一个严重的提示注入漏洞,可能允
Google Dialogflow CX 漏洞可让攻击者劫持
Varonis 报告称,Google Cloud 的 Dialogflow CX 服务中存在一个漏洞,可能允许攻击者
Оправы Медицинские Дл
Чтобы выбрать качественные солнцезащитные
Citrix 修复六个 NetScaler 漏洞,涉及文件
Citrix 周二发布了安全更新,以解决 NetScaler ADC 和 NetScaler Gateway 中的多个漏
"DirtyClone" Linux 内核漏洞可获取 Root
JFrog 发布了针对近期一个高严重性 Linux 内核漏洞的技术细节和概念验证代码,该漏洞
日产披露与 Oracle 零日攻击相关的员工数据
日产汽车警告称,在威胁行为者利用 Oracle PeopleSoft 漏洞进行与此前与 ShinyHunters
黑客现已利用关键 Oracle E-Business 漏洞
据威胁情报公司 Defused 称,攻击者已开始利用 Oracle E-Business Suite (EBS) 财务应
Microsoft 将 Mastra AI 供应链攻击归因于
Microsoft 将最近导致超过 140 个 npm 软件包受损的 Mastra AI 供应链攻击归因于朝鲜
Siemens 称 Desigo CC 文件被安全引擎标记
Siemens 正在通知客户,其 Desigo CC 楼宇管理系统的补丁文件被多个网络安全解决方案