乌克兰CERT-UA警告，俄相关APT组织正攻击乌克兰国家机构

近日，乌克兰 CERT-UA 计算机应急响应小组发布了一份安全报告，提醒国内组织机构警惕俄罗斯相关的网络间谍组织 Armageddon APT(又名 Gamaredon、Primitive Bear、Armageddon、Winterflounder 或 Iron Tilden) 发起的鱼叉式网络钓鱼攻击。这些网络钓鱼信息自 “vadim_melnik88@i [” 发起，其目的是用恶意软件感染目标系统。

Armageddon APT 组织最早由美国科技公司赛门铁克 (Symantec) 和趋势科技 (TrendMicro) 于 2015 年发现，其活动证据甚至可以追溯至 2013 年。调查显示，乌克兰的政府和军事组织一向是该组织的目标重点目标。2019 年 12 月，该组织曾针对几名乌克兰外交、政府和军事官员以及执法部门发动过攻击。

2021 年 11 月，乌克兰主要执法部门和反情报部门披露了 Armageddon APT 组织背后五名俄罗斯联邦安全局成员的真实身份。

就在近些日子，乌克兰 CERT-UA 小组再次发出了警告。该组织正以 “俄罗斯联邦战犯信息” 为诱饵向当地政府机构发送电子邮件。这些信息使用 html 文件 “War criminals of the Russian Federation.htm”（俄罗斯联邦战犯）作为附件。而该文件被打开时，将创建一个名为 “Viyskovi_zlochinci_RU.rar” 的 rar 归档文件。

在这个 rar 文件中包含一个名为 “War criminals destroying Ukraine (home addresses, photos, phone numbers, pages on social networks) .lnk,”(战争罪摧毁乌克兰家庭地址、照片、电话号码、社交网络页面) 的链接文件，一旦打开，恶意代码将下载一个包含 vbscript 代码的 hta 文件，该文件将下载并运行 powershell 脚本 “get.php”(GammaLoad.PS1)。而计算机的唯一标识符就是该脚本据其计算得出。

截至目前，乌克兰 CERT-UA 小组已经公布了本次攻击的妥协指标（IOC）。