【安全资讯】新发现的Andromeda/Gamarue指挥控制集群针对亚太地区行业

概要：

近期，Cybereason安全服务团队揭示了与臭名昭著的Andromeda（又名Gamarue）恶意软件家族相关的新指挥控制（C2）服务器集群。这一恶意软件自2011年以来活跃，以其模块化设计和适应性著称，成为网络犯罪分子的多功能工具。最新发现显示，该恶意软件在亚太地区的制造和物流行业展开了针对性活动。

主要内容：

Andromeda恶意软件历史上通过恶意电子邮件附件、感染的USB驱动器和二次有效载荷进行传播，并持续演变。Cybereason指出，该后门具备下载和执行其他恶意软件、窃取敏感信息（如密码）以及创建远程访问后门的能力。这种灵活性使其成为工业间谍活动的常用选择。

报告揭示了威胁行为者所采用的复杂方法。初始感染途径主要包括“USB投放攻击”，即被感染的USB驱动器在连接时自动执行恶意文件。一旦感染，rundll32.exe被用来加载伪装的DLL，通常命名为~$W*.USBDrv或~$W*.FAT32。关键发现显示，“desktop.ini”文件常被伪装为无害的系统文件，作为有效载荷启动恶意软件活动，这些文件通常通过WebDAV漏洞下载，网络活动表明与注册在常见名称下的恶意域名（如*.malware.com）有连接。

新发现的C2服务器集群展示了复杂的基础设施。在Cybereason的调查中，一个C2域名suckmycocklameavindustry[.]in解析到多个IP地址。这种适应性确保了恶意软件与其操作者之间的动态命令传递，确保了通信的不中断。报告还指出，可能与臭名昭著的Turla组织（又名UNC4210）存在联系，表明此次活动的目标是破坏亚太地区的制造和物流公司，工业间谍活动被怀疑是其动机。