HackerNews 编译,转载请注明出处:
白俄罗斯黑客组织利用带有恶意软件的 Microsoft Excel 文档作为诱饵,以传递 PicassoLoader 的新变种。据评估,这一威胁集群是自 2016 年以来由与白俄罗斯对齐的黑客组织(称为 Ghostwriter,又名 Moonscape、TA445、UAC-0057 和 UNC1151)发起的长期活动的延伸。
“该活动自 2024 年 7 月至 8 月开始筹备,并于 11 月至 12 月进入活跃阶段,” SentinelOne 研究员 Tom Hegel 在一份与《黑客新闻》共享的技术报告中表示。“最近的恶意软件样本和命令与控制(C2)基础设施活动表明,该行动在最近几天仍然活跃。”
这家网络安全公司分析的攻击链的起点是一个来自名为 Vladimir Nikiforech 的账户的 Google Drive 共享文档,该文档托管了一个 RAR 压缩包。
远程访问木马(RAT)文件包含一个恶意 Excel 工作簿,当打开时,如果潜在受害者启用宏运行,将触发执行一个混淆的宏。该宏随后写入一个 DLL 文件,最终为 PicassoLoader 的简化版本铺平了道路。
在下一阶段,会向受害者显示一个诱饵 Excel 文件,而在后台,系统上会下载额外的有效载荷。早在 2024 年 6 月,这种方法就被用于传递 Cobalt Strike 后利用框架。
SentinelOne 表示,还发现了其他带有乌克兰主题诱饵的武器化 Excel 文档,这些文档从远程 URL(“sciencealert[.]shop”)检索一个未知的第二阶段恶意软件,形式为看似无害的 JPG 图像,这种技术被称为隐写术。这些 URL 已不再可用。
在另一个实例中,被动手动的 Excel 文档被用来传递一个名为 LibCMD 的 DLL,该 DLL 旨在运行 cmd.exe 并连接到 stdin/stdout。它直接作为 .NET 程序集加载到内存中并执行。
“在整个 2024 年,Ghostwriter 反复使用包含 Macropack 混淆的 VBA 宏的 Excel 工作簿,并投放用 ConfuserEx 混淆的嵌入式 .NET 下载程序,” Hegel 说。
消息来源:The Hacker News;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
