【安全资讯】黑客模仿克里姆林宫相关组织攻击俄罗斯实体

概要：

近期研究显示，一个鲜为人知的黑客组织正在模仿与克里姆林宫相关的威胁行为者，针对讲俄语的受害者展开攻击。该组织被称为GamaCopy，其最新活动使用伪装成关于俄罗斯武装部队在乌克兰设施位置的官方报告的钓鱼文档，显示出其攻击的隐蔽性和针对性。

主要内容：

GamaCopy在其攻击中采用了开源软件UltraVNC，以远程访问受害者的系统。这种策略与被称为Gamaredon的俄罗斯支持的威胁行为者的常用手法相似。Gamaredon自2013年以来活跃，据信其操作基地位于俄罗斯吞并的克里米亚半岛，并被认为是受俄罗斯联邦安全局（FSB）指挥。尽管GamaCopy与Gamaredon有诸多相似之处，但研究人员指出两者在攻击方式上存在显著差异。

例如，Gamaredon主要使用乌克兰语的诱饵，而GamaCopy则使用俄语。此外，GamaCopy的攻击链涉及UltraVNC，与Gamaredon的方式大相径庭。Knownsec在2023年6月首次发现GamaCopy，并指出该组织自2021年8月以来一直活跃，已多次针对俄罗斯的国防和关键基础设施进行网络攻击。

Knownsec将GamaCopy的活动描述为“成功的假旗行动”，并认为该组织可能与另一个国家支持的行为者Core Werewolf有关。Core Werewolf自2021年起活跃，曾针对俄罗斯的国防工业和关键基础设施进行攻击，使用的工具与GamaCopy相似。