专家发现首批与俄罗斯 Gamaredon 相关的移动恶意软件家族
与俄罗斯有关的 APT Gamaredon 使用两种名为 BoneSpy 和 PlainGnome 的新 Android 间谍软件工具来对付前苏联国家。Lookout 研究人员将 BoneSpy 和 PlainGnome Android 监控家族与俄罗斯 APT 组织 Gamaredon(又名 Armageddon、Primitive Bear 和 ACTINIUM)联系起来。这些是首批已知的与俄罗斯 APT 有关的移动恶意软件家族。该网络间谍组织是 […]
来源:Security Affairs _恶意软件专家发现首批与俄罗斯 Gamaredon 有关的移动恶意软件家族
专家发现首批与俄罗斯 Gamaredon 有关的移动恶意软件家族
Pierluigi Paganini Pierluigi Paganini 2024 年 12 月 13 日与俄罗斯有关的 APT Gamaredon 使用了两种名为 BoneSpy 和 PlainGnome 的新 Android 间谍软件工具来对付前苏联国家。
Lookout 研究人员将 BoneSpy 和 PlainGnome Android 监控家族与俄罗斯 APT 组织 Gamaredon(又名 Armageddon、Primitive Bear 和 ACTINIUM)联系起来。这些是首批已知的与俄罗斯 APT 有关的移动恶意软件家族。
Gamaredon 世界末日自 2021 年 10 月以来,该网络间谍组织针对乌克兰实体以及与乌克兰事务有关的组织发动了一系列鱼叉式网络钓鱼攻击。Gamaredon 至少从 2014 年开始就一直在对乌克兰发起网络间谍活动。
威胁行为者至少从 2021 年开始使用 BoneSpy,而 PlainGnome 于 2024 年首次出现。在撰写本文时,Gamaredon 仍在使用这两个家族。
GamaredonBoneSpy 和 PlainGnome 被用于攻击乌兹别克斯坦和哈萨克斯坦等前苏联国家的俄语受害者。攻击者将前苏联国家作为目标可能是由于乌克兰入侵后关系紧张。 2022 年初的证据表明可能存在企业目标,但尚未确认乌克兰受害者。
这两个恶意软件家族可以收集短信、通话记录、电话音频、设备摄像头的照片、设备位置和联系人列表等数据。
PlainGnome 充当监控有效载荷的投放器,存储在投放器包中,而 BoneSpy 则作为独立应用程序部署。
Lookout 将 BoneSpy 和 PlainGnome 与 Gamaredon 联系起来,因为它们共享 IP 基础设施、域名命名约定以及使用动态 DNS 服务(如 ddns[.]net),这与 Gamaredon 自 2017 年以来的技术一致。这些发现将移动监控家族与 Gamaredon 的桌面活动联系起来。
Lookout 报告 报告 DroidWatcher ( –