俄罗斯黑客用U盘攻击驻乌克兰西方军队

据赛门铁克报道，俄罗斯国家支持的黑客组织Gamaredon（又称“Shuckworm”）近期针对驻乌克兰的某西方国家军事使团发起了攻击，主要通过U盘传播恶意软件。赛门铁克的威胁研究人员指出，此次攻击始于2025年2月，持续至3月，黑客部署了更新版本的GammaSteel信息窃取恶意软件以窃取数据。

报告显示，初始访问可能是通过包含恶意.LNK文件的可移动驱动器实现的，这种方法此前也被Gamaredon使用过。研究人员注意到该组织战术上的变化，包括从VBS脚本转向基于PowerShell的工具，对有效载荷进行更多混淆处理，以及增加使用合法服务以规避检测。

在调查过程中，研究人员在受感染系统的Windows注册表的UserAssist键下发现了一个新值，表明感染始于名为files.lnk的快捷方式文件。随后，一个高度混淆的脚本创建并运行了两个文件。第一个文件处理命令与控制（C2）通信，利用合法服务解析服务器地址，并连接到受Cloudflare保护的URL。第二个文件负责传播机制，通过LNK文件感染其他可移动和网络驱动器，同时隐藏特定文件夹和系统文件以掩盖入侵痕迹。

接着，Gamaredon使用了一个侦察性的PowerShell脚本，能够捕获并传输受感染设备的屏幕截图，收集有关已安装的防病毒工具、文件和运行进程的信息。最终的有效载荷是存储在Windows注册表中的基于PowerShell的GammaSteel版本。

该恶意软件可以从桌面、文档和下载等位置窃取文档（.DOC、.PDF、.XLS、.TXT），显示出Gamaredon对间谍活动的持续兴趣。

最终，恶意软件使用‘certutil.exe’对文件进行哈希处理，并通过PowerShell网络请求将其传输出去。如果传输失败，Gamaredon会通过Tor网络使用cURL传输被窃数据。此外，在‘HKCU\Software\Microsoft\Windows\CurrentVersion\Run’中添加新键值，以在目标计算机上建立持久性。

此次Gamaredon的攻击活动反映了其在操作隐蔽性和有效性方面的提升，尽管该组织与其他俄罗斯国家行为者相比技术水平有限，但其不断改进的战术、技术和程序（TTPs）增加了对西方网络的威胁。

参考链接：

https://www.security.com/threat-intelligence/shuckworm-ukraine-gammasteel