【安全资讯】研究人员警告‘Goffee’恶意软件在俄罗斯闪存驱动器上扩散

概要：

网络安全研究人员近日警告称，一个鲜为人知的黑客组织正在利用定制恶意软件，从连接到俄罗斯计算机的闪存驱动器中窃取敏感文件。该组织被俄罗斯网络安全公司卡巴斯基称为Goffee，其使用的工具PowerModul专门针对可移动媒体，显示出其网络间谍活动的严重性。

主要内容：

Goffee组织的恶意软件包含多个组件，其中FlashFileGrabber能够从闪存驱动器中窃取文件，或扫描USB驱动器并将文档悄悄复制到本地磁盘。另一个组件USB Worm则通过感染连接的闪存驱动器传播PowerModul恶意软件。卡巴斯基指出，该组织自2022年以来一直活跃，主要针对俄罗斯的媒体、电信公司、政府机构、建筑公司和能源供应商。

Goffee也被称为Paper Werewolf，迄今为止仅由俄罗斯网络安全公司描述。卡巴斯基的最新报告显示，该组织的活动时间跨度从2024年7月至12月，标志着其战术的转变，PowerModul作为后门工具，可以从远程服务器接收和执行额外脚本。研究人员最初认为PowerModul只是另一个植入工具PowerTaskel的次级加载器，但现在认为它是一个独立工具，拥有自己的指挥控制基础设施。

此外，Goffee组织通常通过伪装成知名俄罗斯机构的钓鱼邮件传播恶意档案，附件往往伪装成PDF或Word文档的可执行文件。尽管间谍活动仍然是Goffee的主要目标，但BI.ZONE指出，该组织至少有一次干扰了被攻陷网络的运营。