GamaCopy模仿俄罗斯Gamaredon APT，针对俄语目标发起攻击

近日，Knownsec 404高级威胁情报团队分析了一起针对俄语目标的攻击活动。攻击者使用军事主题的诱饵文档、7z自解压文件（SFX）作为载荷，并利用UltraVNC进行远程控制，模仿了俄罗斯Gamaredon APT组织的战术、技术和程序（TTPs）。研究人员将该活动与APT组织Core Werewolf（又名Awaken Likho、PseudoGamaredon）联系起来，由于它模仿了Gamaredon，因此研究人员将其命名为GamaCopy。

GamaCopy自2021年8月以来一直活跃，并于2023年6月被发现。该组织主要针对俄罗斯的国防和基础设施领域，模仿Gamaredon的TTPs。

Knownsec 404高级威胁情报团队在报告中指出：“通过追踪样本来源，我们将其与Core Werewolf组织关联起来，该组织曾多次对俄罗斯发起攻击。众所周知，在南亚地区存在另一对有趣的APT攻击组织，即SideWinder和SideCopy，它们之间存在着爱恨交织的关系。此次发现的攻击活动模仿了针对乌克兰的Gamaredon组织，因此可以将其命名为GamaCopy。”

GamaCopy的攻击手法与特点

研究人员注意到，其他安全厂商曾将多个同类型的历史样本归因于Gamaredon组织。GamaCopy通过成功的假旗行动，欺骗了一些未进行深入分析的安全厂商。

攻击链始于一个7-Zip自解压（SFX）文件，该文件释放载荷，包括一个用于安装UltraVNC并显示诱饵PDF的批处理脚本。攻击者将UltraVNC可执行文件重命名为“OneDrivers.exe”，试图模仿微软OneDrive二进制文件以逃避检测。

GamaCopy攻击中使用的诱饵文档主要围绕军事设施，反映了俄乌冲突的主题。然而，与Gamaredon使用乌克兰语诱饵不同，GamaCopy针对的是俄语用户。

研究人员对GamaCopy的评估

报告总结道：“从代码相似性、诱饵文档中的语言使用以及端口资产的角度来看，更倾向于将此次发现的攻击样本归因于GamaCopy组织。自曝光以来，该组织频繁模仿Gamaredon组织的TTPs，并巧妙地利用开源工具作为掩护，在实现自身目标的同时混淆公众视听。”

Knownsec 404团队还发布了此次攻击活动的入侵指标（IoCs）。

参考来源：

GamaCopy targets Russia mimicking Russia-linked Gamaredon APT

4A评测 - 免责申明

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。

不得将上述内容用于商业或者非法用途，否则一切后果请用户自负。

本站信息来自网络，版权争议与本站无关。您必须在下载后的24个小时之内，从您的电脑或手机中彻底删除上述内容。

如果您喜欢该程序，请支持正版，购买注册，得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解！

程序来源网络，不确保不包含木马病毒等危险内容，请在确保安全的情况下或使用虚拟机使用。

侵权违规投诉邮箱：4ablog168#gmail.com（#换成@）