Cyble 研究与情报实验室 (CRIL) 的研究人员观察到,与白俄罗斯政府有关的威胁行为者“UNC1151”发起了一项新的复杂网络钓鱼活动,目标是乌克兰国防部,以开展秘密间谍行动。
UNC1151 此前曾与大规模、长期的影响活动有关,这些活动符合俄罗斯的地缘政治利益和反北约言论。
UNC1151 利用网络钓鱼诱饵攻击乌克兰国防部
Mandiant 的研究人员此前曾追踪该组织至少自 2017 年以来一直活跃的行动,并将其命名为“代笔行动/UNC1151”。研究人员得出的结论是,该活动旨在向乌克兰、立陶宛、拉脱维亚和波兰的目标受众传播亲俄言论和虚假信息。
最近,CRIL 研究人员发现白俄罗斯组织至少从 2024 年 4 月开始发起一项新的攻击活动,该活动针对乌克兰和波兰政府,主要针对乌克兰国防部和乌克兰军队,使用经过社会工程设计的恶意 Excel 工作表 (XLS) 文件。
2024 针对乌克兰国防部的网络钓鱼诱饵(来源:Cyble Blog)
这些文件声称是官方文件,通过垃圾邮件分发给受害者。一旦打开电子表格,“启用内容”按钮就会试图引导受害者无意中启动嵌入式 VBA(Visual Basic for Applications)宏的执行。
来源:Cyble Blog
此恶意宏文件会在受害者系统中植入一个快捷方式文件 (LNK) 和一个恶意 DLL(动态链接库)文件。执行 LNK 快捷方式文件后,会通过使用操作系统内置的 Rundll32.exe 文件(常被滥用来加载恶意 DLL)来启动 DLL 文件,而 DLL 则会通过使用隐藏和加密的看似无害的“.svg”图像文件来感染系统。
研究人员在解密这些 .svg 图像文件时发现了一个隐藏的 DLL 文件,并得出结论,该文件很可能导致最终的有效载荷,并引用了 Talos Intelligence去年对该组织活动的研究 ,研究人员观察到该组织使用“.jpg”图像文件来传递有效载荷。然而,CRIL 研究人员无法从这些 .svg 文件中检索最终的加密有效载荷,这表明混淆做法有所改进。
他们怀疑最终的有效载荷可能包含与之前活动中观察到的加密 .jpg 图像文件中相同的恶意恶意软件,例如 njRAT、AgentTesla 和 Cobalt Strike。研究人员认为,除了对受感染系统建立未经授权的远程控制外,有效载荷还旨在窃取信息。
先前的 UNC1151 活动和进展
检查最近的网络钓鱼活动中的诱饵文件后,研究人员怀疑该活动主要针对乌克兰国防部。研究人员强调,最近的活动与去年针对乌克兰和波兰政府及其军人和平民的早期活动有相似之处和不同之处。
2023 年的活动同样通过使用 Excel 和 PowerPoint 文件来诱骗用户运行隐藏的宏代码,从而导致受感染的系统上加载恶意 .LNK 快捷方式文件和 DLL 文件。
活动差异(来源:Cyble Blog)
然而,新的攻击活动使用了不同的网络钓鱼诱饵,例如无人机图像,并且该文件声称来自乌克兰国防部。虽然上一个攻击活动中加密的 .jpg 图像文件直接隐藏了 .EXE 文件,但新攻击活动中的 .svg 图像文件却隐藏了一个额外的恶意 DLL 文件。此 DLL 文件被加载到系统的临时目录 ( %Temp% ) 中,并通过使用Windows 操作系统上存在的合法Rundll32.exe来运行。
研究人员将这些差异作为该组织不断演变的策略的一个例子,该组织不断努力破坏乌克兰目标以获取战略利益。研究人员建议使用电子邮件过滤系统,验证电子邮件发件人的身份,限制脚本语言的执行,设置网络级监控,并定期备份重要数据。
发表评论
您还未登录,请先登录。
登录