套娃式间谍病毒来袭!俄FSB旗下Gamaredon打造四层“俄罗斯套娃”恶意软件,插U盘就全网泄密

admin 2026-07-14 04:52:00 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 本文剖析俄Gamaredon组织的套娃攻击链。其利用压缩包漏洞突破防线,将蠕虫隐匿于NTFS数据流,借伪装快捷方式感染U盘穿透隔离内网,结合Telegram动态更新C2实现窃密。建议政企升级解压软件,监控异常定时任务与ADS路径读取,严控涉密U盘使用以防泄密。 综合评分: 70 文章分类: 威胁情报,恶意软件,软文广告,漏洞分析,应急响应


cover_image

套娃式间谍病毒来袭!俄FSB旗下Gamaredon打造四层“俄罗斯套娃”恶意软件,插U盘就全网泄密

原创

AI紫队安全研究 AI紫队安全研究

AI紫队安全研究

2026年6月11日 11:59 广东

在小说阅读器读本章

去阅读

大家好,我是AI紫队安全研究。建议大家把公众号“AI紫队安全研究”设为星标,否则可能就无法及时看到啦!因为公众号只对常读和星标的公众号才能大图推送。操作方法:先点击上面的“AI紫队安全研究”,然后点击右上角的【…】,然后点击【设为星标】即可。

关注视频号 “AI紫队安全研究” 不定期周五晚上10点直播。

家人们,又一款顶级国家级APT黑科技现世!被多国情报机构溯源至俄罗斯FSB的老牌间谍组织Gamaredon(伽马顿),2026年全新套娃式间谍武器链曝光,从钓鱼邮件→压缩包漏洞→隐身蠕虫→全盘偷密,层层嵌套藏在Windows原生功能里,肉眼找不到病毒本体,插个U盘就能横向击穿物理隔离内网,乌克兰政企、军方常年惨遭定点窃密,Sekoia安全团队完整拆解这套Gamma系列间谍套装。

一、组织背景:深耕十余年的FSB御用间谍军团

Gamaredon(又称Armageddon、UAC-0010)自2013年活跃,乌克兰国安局、欧美多家安全机构实锤隶属于俄联邦安全局FSB,十年如一日紧盯乌克兰政府、军队、关键基建,主打长期潜伏式情报窃取。

2013-2016:靠网上现成远控RMS、UltraVNC搭配钓鱼文档作案;

2016-2021:自研Pteranodon大框架一体化木马;

2021至今:拆分成Gamma四大模块化套件:GammaPhish(钓鱼入口)、GammaLoad(加载器)、GammaWorm(U盘蠕虫)、GammaSteel(全盘窃密),还有配套销毁型GammaWipe,拆分成独立组件,每一层都自带后门,删掉一层还有另一层继续潜伏。

整套架构酷似俄罗斯套娃,拆开一层里面还藏新载荷,因此业内命名「马特廖什卡套娃攻击链」。

二、第一层:GammaPhish,借WinRAR漏洞悄无声息破门

攻击起点全靠钓鱼诱导,一封伪装成乌克兰官方传唤单、公务报表的邮件,附特殊xhtml+恶意压缩包,中招门槛极低:

  1. 诱饵伪装:附件名字是乌克兰语公务PDF(传票、资产清单),打开网页先弹出「文档已下载」,偷偷埋1×1像素追踪图片,黑客瞬间确认目标已点开文件;

  2. 漏洞利用CVE-2025-8088(WinRAR路径穿越):压缩包看着只有一个PDF,内部藏../路径跳转代码,用户随便解压PDF,恶意HTA文件自动落进Windows开机启动目录;

  3. 开机即触发:下次登录系统,系统自动调用mshta执行脚本,伪装访问BBC域名做伪装跳转,背地里从黑客云端下载下一阶段加载器GammaLoad。

划重点:哪怕你没主动运行程序,只是解压文件,病毒已经悄悄进开机项。

三、第二层:GammaWorm,藏在系统缝隙里的隐身U盘蠕虫(本次拆解重点)

全套最阴狠的一环,数万行VBS代码藏进NTFS备用数据流(ADS)——Windows原生隐藏分区,普通文件夹查看、杀毒扫描完全看不见,不用新增实体文件,堪称“空气病毒”。

1、隐身黑科技:ADS数据流藏匿

普通dir命令看不到病毒,必须用dir /R才能查出藏在文件附属流里的木马,蠕虫主体存放在%USERPROFILE%:GTR%USERPROFILE%:save等隐形路径,系统盘符看着干干净净,实则病毒常驻。

2、双重持久化,删不干净

蠕虫修改注册表:隐藏系统文件、后缀名,同时创建两个定时任务:

DiskDiagnosticData(每7分钟运行):从Telegram、Teletype等正规公开频道扒C2服务器地址,实时更新黑客控制IP;

SilentClean(每7分钟运行):专门负责U盘、局域网传播;

哪怕手动删除文件,重启后注册表+定时任务会重新生成蠕虫本体。

3、U盘“钓鱼陷阱”,插盘即传染

蠕虫遍历所有U盘、网络共享盘:

  1. 把原有文件夹全部设为隐藏;

  2. 生成同名伪装LNK快捷方式,文件名全是乌克兰敏感文档:战俘照片、军务清单、报销单据等猎奇名称,诱惑双击;

  3. 点开快捷方式:一边正常打开原文件夹,一边后台静默运行GammaWorm,瞬间完成U盘投毒。

最恐怖:物理隔离内网(断网涉密电脑),只要插了中毒U盘,照样被攻破窃密。

4、靠Telegram暗网动态换C2

黑客不在程序硬编码IP,全部把控制地址藏在公开TG频道,蠕虫定期爬网页提取新域名、IP,封禁一个立刻换另一个,封堵难度拉满,请求头还混杂随机浏览器参数,伪装正常上网流量。

四、后续两层埋伏:GammaLoad+GammaSteel,全盘资料被掏空

  1. GammaLoad多级加载器:四层VBS链式下载,先探测设备软硬件信息,写入注册表备用C2,按需从云端下发窃密木马;

  2. GammaSteel全能偷密木马:落地后写入71个DPAPI加密模块,三大窃取逻辑并行:

   全盘轮询文档、表格;

   U盘插入瞬间自动扫描;

   文件修改、保存实时抓取;

   窃取数据优先上传对象存储,云端失联自动切黑客私有C2,办公文档、军方涉密材料一键打包外传。

五、黑客的终极优势:全链路自带后门,杀不完

整套套链核心魔鬼设计:每一个组件都是独立后门。

就算删掉蠕虫,GammaLoad还能远程重下;删掉加载器,钓鱼残留配置仍能下发新载荷;哪怕断网,U盘传播仍能在内网横向扩散,传统杀毒全盘查杀很难根除,中招最优方案是全盘格式化重装系统。

六、政企&个人防御实操指南

企业端(党政、军工、事业单位优先)

  1. WinRAR升级7.13以上,封堵CVE-2025-8088路径遍历漏洞,禁止员工随意解压陌生公务类压缩包;

  2. 终端监控异常定时任务:DiskDiagnostic、SilentClean、SmartRetry三类系统任务;

  3. 告警wscript.exe读取带冒号ADS路径(如C:\user:GTR)的异常进程;

  4. 涉密物理隔离电脑禁用外来U盘自动运行,U盘上机前先全盘查杀。

个人/办公用户

  1. 陌生境外公务、传票类邮件附件一律不点不解压;

  2. 关闭文件夹后缀隐藏、系统文件隐藏选项;

  3. 陌生U盘先右键杀毒,不要直接双击文件夹快捷方式。

结语

Gamaredon十年迭代,从笨重单一木马进化成模块化套娃间谍生态,借Windows原生特性+正规社交平台藏C2,未来同类APT攻击只会越来越隐蔽。尤其是涉外、军工、政务从业者,陌生邮件+不明U盘务必提高警惕。

加入知识星球,可获取权益

一、”全球高级持续威胁:网络世界的隐形战争”,总共26章,为你带来体系化认识APT,欢迎感兴趣的朋友入圈交流。

二、为什么加入?

职场瓶颈期找不到突破方向?安全项目落地缺成熟方案?面对APT攻击、勒索病毒不知如何构建防御体系?

三、在这里,你能获得的不只是资料包,而是直接对接行业专家的「私人顾问服务」

✅ 职业发展「精准导航」

 1v1简历优化:针对安全岗(渗透测试/安全运营/合规等)拆解JD,突出核心竞争力;

 晋升避坑指南:从工程师到安全负责人,分享晋升路径,避开「技术强但管理弱」的晋升陷阱;

 技能栈规划:根据你的基础(应届生/3年经验/资深专家)定制学习路线,比如从0到1学SOC安全建设、APT威胁狩猎。

✅ 安全方案「对症开方」

 实战方案库:含医疗/制造业/等行业的勒索防御、数据安全合规、供应链安全加固方案(附落地工具清单+成本测算);

 架构设计咨询:小到EDR选型,大到零信任体系搭建,提供「预算效果」平衡的最优解(已帮10+企业节省40%防护成本)。

✅ 圈子资源「直接对接」

 大厂安全负责人拆解真实案例(如某支付公司攻防对抗的实战复盘);

四、适合谁?

 想突破职业天花板的安全工程师/架构师;

 需快速落地安全项目的企业负责人;

 关注行业动态的安全爱好者或IT从业人员。

喜欢文章的朋友动动发财手点赞、转发、赞赏,你的每一次认可,都是我继续前进的动力。


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:AI紫队安全研究 AI紫队安全研究 AI紫队安全研究《套娃式间谍病毒来袭!俄FSB旗下Gamaredon打造四层“俄罗斯套娃”恶意软件,插U盘就全网泄密》

评论:0   参与:  0