网络安全研究人员发现了两个俄罗斯黑客组织伽马雷登和图拉合作针对乌克兰实体并对其实施联合攻击的证据。
斯洛伐克 cybersecurity 公司 ESET 表示,其在2025年2月观察到 Gamaredon 工具 PteroGraphin 和 PteroOdd 被用于在乌克兰的一个端点上执行 Turla 组织的 Kazuar 后门程序,这表明 Turla 极有可能正与 Gamaredon 积极合作,以获取对乌克兰特定机器的访问权限并投放 Kazuar 后门程序。
“ESET在与《黑客新闻》分享的一份报告中称:‘PteroGraphin被用于重启Kazuar v3后门程序,这可能发生在该后门程序崩溃或未自动启动之后。因此,PteroGraphin很可能被Turla用作一种恢复手段。’”
ESET表示,在2025年4月和6月的另一起事件中,它还检测到Kazuar v2通过另外两个Gamaredon恶意软件家族(分别被追踪为PteroOdd和PteroPaste)进行了部署。
Gamaredon(又名Aqua Blizzard和Armageddon)与Turla(又名Secret Blizzard和Venomous Bear)均被评估为与俄罗斯联邦安全局(FSB)有关联,且以针对乌克兰的攻击而闻名。
“‘Gamaredon’至少自2013年以来就一直活跃。它实施了多起攻击,主要针对乌克兰的政府机构。”ESET表示。
“Turla,也被称为Snake,是一个臭名昭著的网络间谍组织,至少从2004年就开始活跃,其活动时间可能追溯到20世纪90年代末。该组织主要针对欧洲、中亚和中东地区的政府及外交机构等高层目标。据悉,它曾在2008年入侵美国国防部,2014年入侵瑞士防务公司RUAG等大型机构。”
这家网络安全公司表示,2022年俄罗斯对乌克兰的全面入侵可能加速了这种融合,近几个月来,攻击主要集中在乌克兰国防部门。
Turla的主要植入程序之一是Kazuar,这是一种频繁更新的恶意软件,它此前曾利用Amadey机器人部署一个名为Tavdig的后门,该后门随后会释放这款基于.NET的工具。据卡巴斯基称,早在2016年就已在野外发现与该恶意软件相关的早期样本。
另一方面,PteroGraphin、PteroOdd和PteroPaste是Gamaredeon开发的不断扩充的工具库的一部分,这些工具用于交付额外的有效载荷。PteroGraphin是一款PowerShell工具,它利用微软Excel加载项和计划任务作为持久化机制,并使用Telegraph API进行命令与控制(C2)。该工具于2024年8月首次被发现。
Gamaredon所使用的确切初始访问向量尚不清楚,但该组织有使用鱼叉式钓鱼和可移动驱动器上的恶意LNK文件(借助PteroLNK等工具进行传播)的历史。
总体而言,在过去18个月里,乌克兰有7台机器上检测到了与Turla相关的指标,其中4台在2025年1月遭到了Gamaredon的入侵。据称,最新版本的Kazuar(Kazuar v3)的部署发生在2月底左右。
“Kazuar v2和v3本质上属于同一恶意软件家族,共享相同的代码库,”ESET表示。“Kazuar v3的C#代码行数比Kazuar v2多约35%,并引入了额外的网络传输方式:通过WebSocket和Exchange Web Services。”
此次攻击链涉及Gamaredon部署PteroGraphin,该工具被用于下载一个名为PteroOdd的PowerShell下载器,而PteroOdd又会从Telegraph获取有效载荷以执行Kazuar。该有效载荷还被设计为在启动Kazuar之前,收集受害者的计算机名称和系统驱动器的卷序列号,并将其泄露到Cloudflare Workers的一个子域名。
尽管如此,值得注意的是,有迹象表明Gamaredon下载了Kazuar,因为据称自2025年2月11日起,该后门程序就已存在于系统中。
这并非孤立现象的一个迹象是,ESET透露其于2025年3月在乌克兰另一台设备上发现了另一个PteroOdd样本,该设备上也存在Kazuar恶意软件。这种恶意软件能够收集各类系统信息以及已安装的.NET版本列表,并将这些信息传输至一个外部域名(“eset.ydns[.]eu”)。
该公司以中等置信度评估称,Gamaredon的工具集没有任何.NET恶意软件,而Turla的Kazuar基于.NET开发,这一事实表明,这一数据收集步骤可能是针对Turla的。
第二波攻击于2025年4月中旬被发现,当时PteroOdd被用于投放另一个名为PteroEffigy的PowerShell下载器,该下载器最终会联系“eset.ydns[.]eu”域名以交付Kazuar v2(“scrss.ps1”),帕洛阿尔托网络公司在2023年末已对其进行过记录。
ESET表示,其还在2025年6月5日和6日检测到第三个攻击链,期间观察到一个名为PteroPaste的PowerShell下载器被用于从“91.231.182[.]187”域名向位于乌克兰的两台机器投放并安装Kazuar v2(“ekrn.ps1”)。使用“ekrn”这一名称,可能是威胁行为者试图伪装成“ekrn.exe”——这是一个与ESET端点安全产品相关的合法二进制文件。
ESET研究员马蒂厄·法乌和佐尔坦·鲁斯纳克表示:“我们现在高度确信,这两个分别与联邦安全局有关联的组织正在合作,且‘gamaredon’正在为‘图拉’提供初始访问权限。”
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
