近日，一个此前未知的威胁组织被发现模仿与克里姆林宫相关的Gamaredon黑客组织的战术，针对俄语实体展开网络攻击。该活动被归因于一个名为GamaCopy的威胁集群，据评估，该集群与另一个名为Core Werewolf（也被追踪为Awaken Likho和PseudoGamaredon）的黑客组织存在重叠。

攻击手法与工具

根据Knownsec 404高级威胁情报团队的分析，攻击者利用与军事设施相关的内容作为诱饵，投放UltraVNC，从而使威胁行为者能够远程访问受感染的主机。该公司在上周发布的一份报告中表示：“该组织的战术、技术和程序（TTP）模仿了针对乌克兰发动攻击的Gamaredon组织。”

此次披露距离卡巴斯基揭露俄罗斯政府机构和工业企业成为Core Werewolf攻击目标已有近四个月。与GamaCopy不同的是，Core Werewolf通过鱼叉式网络钓鱼攻击为MeshCentral平台铺路，而非UltraVNC。

攻击链的起点与执行

攻击链的起点与俄罗斯网络安全公司描述的类似，即使用7-Zip创建的自解压（SFX）归档文件作为投放下一阶段有效载荷的渠道。这包括一个负责投放UltraVNC的批处理脚本，同时显示一个诱饵PDF文档。

UltraVNC可执行文件被命名为“OneDrivers.exe”，可能是为了伪装成与Microsoft OneDrive相关的二进制文件，从而逃避检测。

与Core Werewolf的相似之处

Knownsec 404表示，该活动与Core Werewolf的多个活动存在相似之处，包括使用7z-SFX文件安装和执行UltraVNC、通过443端口连接到服务器，以及使用EnableDelayedExpansion命令。该公司指出：“自曝光以来，该组织频繁模仿Gararedon组织的TTP，并巧妙地利用开源工具作为掩护，在混淆公众的同时实现其目标。”

俄乌战争背景下的威胁组织

GamaCopy是俄乌战争爆发后针对俄罗斯组织的众多威胁行为者之一，其他组织还包括Sticky Werewolf（又名PhaseShifters）、Venture Wolf和Paper Werewolf。Positive Technologies的Irina Zinovkina表示：“像PhaseShifters、PseudoGamaredon和Fluffy Wolf这样的组织因其旨在窃取数据的持续网络钓鱼活动而引人注目。”

参考来源：

GamaCopy Mimics Gamaredon Tactics in Cyber Espionage Targeting Russian Entities