文章总结: Gamaredon组织利用WinRAR漏洞CVE-2025-8088对乌克兰目标发起模块化间谍攻击,通过XHTML文件触发感染链,使用NTFS备用数据流隐藏载荷,并通过Telegram解析C2地址。攻击链高度模块化且隐蔽,建议彻底重装系统以清除感染。 综合评分: 88 文章分类: 漏洞分析,恶意软件,威胁情报,红队,内网渗透
回传受害主机的机器指纹。没有请求体,只有头部。</p>
<p>C2 解析链本身是多层的:它依次经过 graph.org、Cloudflare Workers、Teletype、Telegra.ph 和 Telegram,最终到达攻击者控制的服务器。每个解析出的 URL 都会写入注册表,供下一阶段读取。如果 C2 返回 HTTP 200,它会执行响应体中的任意 VBScript。如果返回 404,这实际上是一次配置更新——没错,他们将 404 响应重新用作信号机制。</p>
<p>Sekoia 表示:「这条感染链展现了一个弹性的、庞大的、高度混淆的模块化设计。由于其适应性以及攻击者动态更新配置的能力,该架构极有可能在未来被再次使用。」</p>
<p>Sekoia 的这一评估并非猜测:该链的每一个阶段都独立保留了获取并执行任意远程代码的能力,这意味着即使防御者清理了一个层面,其他层面仍会继续运行。</p>
<p>该组织「还长期使用某些技术,例如嵌入 1×1 跟踪像素以确认受害者互动、利用压缩包路径遍历漏洞,以及通过 USB 驱动器进行物理传播」。</p>
<p>其延续性令人震惊。新变化在于基础设施的隐蔽性:几乎完全在内存中运行、将载荷存储在 ADS 中、通过 Telegram 和 Cloudflare 解析 C2、通过 HTTP 头部而非请求体窃取数据。Sekoia 指出,对于任何确认被该链感染的主机,最安全的修复路径是彻底重装系统,因为 GammaWorm 的死信解析机制使得攻击者推送新载荷的速度快于清理尝试的速度。</p>
<p>IOC(包括 GammaPhish 和 GammaWorm 的文件哈希值、死信解析器 URL 以及唯一已确认的 C2 IP)已在 Sekoia 报告末尾公布。完整的指标集(包括网络基础设施)可通过 Sekoia 的情报订阅获取。</p>
<p>报告总结道:「有趣的是,尽管 Gamaredon 引入了新能力,它们仍然持续回收利用旧战术。然而,这次攻击活动标志着 Gamaredon 较此前记录的攻击在技术上显著升级。向几乎完全无文件、由 VBScript 驱动的『套娃』架构的明确过渡,加上对 NTFS 备用数据流(ADS)的大量滥用,表明其付出了协同努力,以绕过自动化沙箱、增加取证取证难度,并最终消耗防御者的精力。</p>
<p><strong><em>END</em></strong></p>
<p>阅读推荐</p>
<p>【安全圈】新“炸弹”拒绝服务攻击曝光:单机拖垮服务器,约 10 秒耗尽 32GB 内存</p>
<p>【安全圈】谷歌修复一款在野利用安卓高危漏洞,数百万设备受影响</p>
<p>【安全圈】美国对勒索软件使用的伊朗加密货币交易所 Nobitex 实施制裁</p>
<p>【安全圈】弃用谷歌,欧洲议会因隐私考量改用法国 Qwant 为默认搜索引擎</p>
<p><img decoding=)
安全圈
←扫码关注我们
网罗圈内热点 专注网络安全
实时资讯一手掌握!
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:安全圈 《【安全圈】Gamaredon 利用 WinRAR 漏洞对乌克兰目标发起模块化间谍攻击》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。









评论