威胁分析师报告称，俄罗斯国家支持的威胁组织 Gamaredon（又名 Armageddon/Shuckworm）正在使用自定义 Pteredo 后门的新变体对乌克兰的目标发起攻击。

至少自 2014 年以来，Gamaredon 一直在发起针对乌克兰政府和其他关键实体的网络间谍活动。

该演员以其对乌克兰的强烈关注而闻名，被归咎于 针对该国 1,500 个公共和私营实体的5,000 多次网络攻击。

根据追踪该组织为 Shuckworm 的赛门铁克的一份报告，该攻击者目前正在使用至少四种“Pteredo”恶意软件变种，也被追踪为 Pteranodon

后门的根源在于 2016 年的俄罗斯黑客论坛，Shuckworm 从那里获取并开始使用专门的 DLL 模块和用于窃取数据、远程访问和分析规避的功能私下开发它。

近期活动
赛门铁克的分析师报告称，针对乌克兰目标部署的所有不同有效负载最近都执行了类似的任务，但每个都与不同的命令和控制服务器 (C2) 服务器地址进行通信。

这表明威胁参与者正在使用多个彼此略有不同的不同有效负载来实现冗余并建立能够抵抗恶意软件清理操作的持久性。

为持久化添加了计划任务
为持久性添加了计划任务 (Symantec)
在所有四个观察到的变体中，威胁参与者使用模糊的 VBS 投放器，添加计划任务，然后从 C2 获取其他模块。

Pteredo.B – 修改后的自解压 7-Zip 存档，包含多个专注于数据收集和持久性建立的 VBScript。
Pteredo.C – VBScript-ridden 变体，通过 API 锤击过程启动，以确保它不在分析师的沙箱中运行。依赖于从外部源获取 PowerShell 脚本并执行它们。

根据追踪该组织为 Shuckworm 的赛门铁克的一份报告，该攻击者目前正在使用至少四种“Pteredo”恶意软件变种，也被追踪为 Pteranodon

后门的根源在于 2016 年的俄罗斯黑客论坛，Shuckworm 从那里获取并开始使用专门的 DLL 模块和用于窃取数据、远程访问和分析规避的功能私下开发它。

近期活动
赛门铁克的分析师报告称，针对乌克兰目标部署的所有不同有效负载最近都执行了类似的任务，但每个都与不同的命令和控制服务器 (C2) 服务器地址进行通信。

这表明威胁参与者正在使用多个彼此略有不同的不同有效负载来实现冗余并建立能够抵抗恶意软件清理操作的持久性。

为持久化添加了计划任务
为持久性添加了计划任务 (Symantec)
在所有四个观察到的变体中，威胁参与者使用模糊的 VBS 投放器，添加计划任务，然后从 C2 获取其他模块。

Pteredo.B – 修改后的自解压 7-Zip 存档，包含多个专注于数据收集和持久性建立的 VBScript。
Pteredo.C – VBScript-ridden 变体，通过 API 锤击过程启动，以确保它不在分析师的沙箱中运行。依赖于从外部源获取 PowerShell 脚本并执行它们。

1 月份还使用了最小化用户交互的 7-Zip 自解压二进制文件，同时还发现了 UltraVNC 和 Process Explorer 滥用。

虽然 Shuckworm/Gamaredon 是一个相当复杂的组织，但它的工具集和感染策略在最近几个月没有改进，从而更容易检测和更简单的防御策略。

不过，Pteredo 后门仍在积极开发中，威胁组织可以使用经过彻底检查、更强大或更隐蔽的恶意软件版本，以及修改其攻击链。