俄罗斯黑客组织Gamaredon携最新武器回归，攻击目标还在搜索中

Palo Alto Networks公司的安全研究人员表示，名为“Gamaredon”的俄罗斯黑客组织在最新针对乌克兰政府、军事及执法机构的网络间谍活动中使用了一款定制开发的新型恶意软件。

Gamaredon APT组织首次出现于2013年，去年LookingGlass的研究人员追踪了一场名为“Operation Armageddon” 的网络间谍活动细节，活动针对的为乌克兰实体。乌克兰国家安全局（SBU）曾针对此次网络攻击事件指责俄罗斯联邦安全局（FSB）。据悉，Gamaredon组织利用鱼叉式网络钓鱼邮件传播常见的远程访问工具（RATs），例如UltraVNC以及远程操作系统（RMS）。

如今，Palo Alto Networks公司的安全研究人员发现Gamaredon APT组织背后的攻击者已经开始使用一种新型的、定制开发的恶意软件进行攻击，而不再依靠常见的远程访问工具。

PaloAlto Networks公司发布的分析报告称：

过去，Gamaredon组织非常依赖现成的工具进行作业。但是我们最新的研究成果表明，该组织已经转向利用定制开发的恶意软件实施攻击活动。

据悉，该定制开发恶意软件具备的功能如下：

下载并执行他们选择的附加载荷的机制；
扫描特定文件类型的系统驱动器的能力；
捕捉截屏的能力；
在用户的安全性上下文环境内远程执行系统命令的能力；

该新型恶意软件非常复杂且能够躲避安全解决方案的检测。目前，安全专家并不确定最新的攻击行为是否是“Operation Armageddon”网络间谍活动的一部分，或者该组织是否已经开展了新的网络间谍活动。

Palo Alto Networks的分析报告称：

防恶意软件技术并没有检测出该组织开发的恶意软件。我们认为这可能是由于该恶意软件的模块化特性所致，该恶意软件大量使用批处理脚本，滥用合法的应用程序和工具（例如wget）进行恶意行为。

2016年2月，研究人员还发现了另一个自定义工具——Pteranodon，该工具也被添加到自解压文件（SFX）中为Gamaredon组织所用。