HackerNews 编译,转载请注明出处:
乌克兰计算机应急响应小组(CERT-UA)揭示了一组针对乌克兰机构的新网络攻击,这些攻击使用信息窃取恶意软件。
该机构表示,这些活动针对军事单位、执法机构以及地方自治机构,尤其是那些位于乌克兰东部边境附近的机构。
这些攻击涉及分发包含启用宏的 Microsoft Excel 电子表格(XLSM)的网络钓鱼电子邮件,当打开时,会部署两种恶意软件:一种是从 PSSW100AVB(“100% 绕过杀毒软件的 PowerShell 脚本”)GitHub 仓库中获取的 PowerShell 脚本,用于开启反向 shell,以及一个以前未被记录的窃密程序,名为 GIFTEDCROOK。
“文件名和电子邮件主题行涉及诸如排雷、行政罚款、无人机生产以及被毁财产赔偿等敏感问题,”CERT-UA 表示。
“这些电子表格包含恶意代码,当用户打开文档并启用宏时,会自动转变为恶意软件并在用户不知情的情况下执行。”
GIFTEDCROOK 用 C/C++ 编写,可从 Google Chrome、Microsoft Edge 和 Mozilla Firefox 等网络浏览器中窃取敏感数据,如 cookie、浏览历史和认证数据。
这些电子邮件消息是从被攻陷的账户发送的,通常是通过电子邮件客户端的 Web 界面发送,以使消息看起来具有合法性,并诱使潜在受害者打开文档。CERT-UA 将此活动归因于威胁群组 UAC-0226,尽管它尚未与特定国家相关联。
这一进展正值一个疑似与俄罗斯有关联的间谍活动者 UNC5837 被与 2024 年 10 月针对欧洲政府和军事组织的网络钓鱼活动相关联。
“该活动使用了签名的 .RDP 文件附件,以从受害者的机器建立远程桌面协议(RDP)连接,”Google 威胁情报小组(GTIG)表示。
“与通常关注交互会话的 RDP 攻击不同,此次攻击创造性地利用了资源重定向(将受害者文件系统映射到攻击者服务器)和 RemoteApps(向受害者呈现攻击者控制的应用程序)。”
值得注意的是,RDP 活动之前已在 2024 年 10 月由 CERT-UA、亚马逊网络服务和微软记录,并在 12 月由 Trend Micro 记录。CERT-UA 正在追踪名为 UAC-0215 的活动,而其他公司则将其归因于俄罗斯国家赞助的黑客组织 APT29。
此次攻击还值得注意,因为它可能使用了一个名为 PyRDP 的开源工具来自动化恶意活动,如文件外泄和剪贴板捕获,包括可能敏感的数据如密码。
“此次活动可能使攻击者能够读取受害者的驱动器、窃取文件、捕获剪贴板数据(包括密码),并获取受害者环境变量,”GTIG 在周一的报告中表示。“UNC5837 的主要目标似乎是间谍活动和文件窃取。”
近几个月来,还观察到网络钓鱼活动使用假的 CAPTCHA 和 Cloudflare Turnstile 来分发 Legion Loader(又名 Satacom),然后作为渠道投放一个名为“保存到 Google Drive”的恶意 Chromium 基浏览器扩展。
“初始载荷通过驱动器下载感染传播,始于受害者搜索特定文档并被引诱到恶意网站,”Netskope 威胁实验室表示。“下载的文档包含一个 CAPTCHA,一旦受害者点击,就会将其重定向到 Cloudflare Turnstile CAPTCHA,然后最终重定向到通知页面。”
该页面提示用户允许在该网站上接收通知,之后受害者被重定向到第二个 Cloudflare Turnstile CAPTCHA,完成后再重定向到一个提供 ClickFix 风格指导以下载他们所需文档的页面。
实际上,此次攻击为 MSI 安装程序文件的交付和执行铺平了道路,该文件负责启动 Legion Loader,后者又执行一系列步骤来下载和运行临时 PowerShell 脚本,最终将恶意浏览器扩展添加到浏览器中。
PowerShell 脚本还会终止浏览器会话以启用扩展,打开设置中的开发者模式,然后重新启动浏览器。最终目标是捕获各种敏感信息并将其外泄给攻击者。
消息来源:The Hacker News;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
