Gamaredon為俄羅斯政府支援之駭客組織,自2014年以來持續以烏克蘭為目標發動數千次攻擊。2022年2月俄羅斯入侵烏克蘭後,該駭客組織將攻擊重心著重於釣魚攻擊與散佈惡意程式。
依據賽門鐵克近期發布之報告,Gamaredon攻擊活動於戰爭後持續增加,最近一波攻擊由7月中旬至今,主要為帶有7-Zip壓縮檔附件之釣魚郵件攻擊,該檔案於解壓縮後執行資料竊取程式,駭客為躲避檢測亦修改不同版本。此外,另一攻擊為駭客使用VBS下載器下載Pterodo後門程式,此後門為Gamaredon自行開發之惡意程式之一,允許駭客錄製音訊、螢幕截圖、記錄鍵盤敲擊紀錄或下載其他程式並執行。近期駭客甚至利用合法遠端桌面程式控制受駭者電腦,如Ammyy Admin與AnyDesk。
烏克蘭電腦緊急應變團隊(CERT-UA)於8月10日公布Gamaredon攻擊活動訊息,其中之一為利用PowerShell執行惡意程式並竊取瀏覽器之資料,另一攻擊為駭客試圖利用自製巨集修改受駭電腦上之Normal.dotm檔案,此檔案為Microsoft Word範本,修改後將導致之後新建之Word檔案皆含有病毒,若使用者以電子郵件寄送Word檔案,將造成嚴重後果。
https://www.bleepingcomputer.com/news/security/russian-hackers-target-ukraine-with-default-word-template-hijacker/
https://cert.gov.ua/article/1229152