乌克兰正面临来自俄罗斯军事情报局 (GRU) 黑客的新型网络攻击,其目标是地方政府。
乌克兰计算机应急响应小组 (CERT-UA) 最近发现了与俄罗斯 GRU 有关的 APT28 或“Fancy Bear”发起的高级网络钓鱼活动。
攻击者使用一种新颖的方法,诱骗收件人直接从剪贴板执行恶意 PowerShell 命令 - 这是一种以最少的交互传递恶意软件的新技术。
模仿 Google 电子表格的链接
地方政府办公室内流传着被CERT-UA标记的电子邮件,主题为“表格替换”。这些电子邮件没有使用标准附件,而是嵌入了一个模仿 Google 电子表格的链接。
点击该链接会启动对 Google reCAPTCHA 的模仿,这是一种通过模仿网站识别机器人的画面来消除怀疑。
然而,与合法的 reCAPTCHA 提示不同,这个诱饵会执行一个看不见的操作:它将恶意的 PowerShell 命令直接复制到用户的剪贴板。
随后,指令提示用户按“Win+R”,打开命令提示符,然后按“Ctrl+V”粘贴,再按“Enter”执行。执行后,有效载荷就会启动,从而危害系统。
被木马感染的 Google reCAPTCHA 及其运行的 PowerShell 脚本。(来源:CERT-UA)
APT28 的策略表明这些组织如何利用日常任务中的熟悉动作来掩盖其意图。这种技术利用基本系统功能并利用用户对看似良性的提示(例如机器人验证)的信任。
CERT-UA 分析显示,该命令会启动下载和执行序列。它会启动恶意 HTML 应用程序“browser.hta”,然后执行 PowerShell 脚本“Browser.ps1”,该脚本旨在窃取 Chrome、Edge、Opera 和Firefox等热门浏览器的数据。
此外,它还使用 SSH 隧道进行数据泄露,允许窃取的凭证和其他敏感数据直接传输给攻击者。其中一个更令人担忧的方面是该脚本能够下载并运行 Metasploit 框架,该工具广泛用于渗透测试,但在威胁行为者中越来越受欢迎。
Fancy Bear 的武器库不断扩大
这并不是乌克兰实体第一次面临 APT28 的针对性行动。CERT-UA 在 9 月报告称,该组织利用 Roundcube 电子邮件漏洞(CVE-2023-43770) 重定向电子邮件数据。
恶意脚本在 Roundcube 漏洞利用后运行(来源:CERT-UA)
利用此漏洞,攻击者可以植入过滤器,自动将电子邮件转发到攻击者控制的地址。在这次攻击中,CERT-UA 发现至少有十个被入侵的政府电子邮件账户被用来向乌克兰国防联系人发送进一步的攻击。
在两次攻击中,APT28 均使用受感染的服务器 mail.zhblz[.]com 进行控制。
链接到该服务器的 IP(203.161.50[.]145)在之前的活动中出现过,这表明 APT28 的运营基础设施正在不断改进,以逃避检测,同时保持攻击的连续性。
随着 APT28 的持续活动,CERT-UA 建议政府机构警惕日益增多的针对性鱼叉式网络钓鱼活动,这些活动旨在利用用户信任和日常任务。
新闻链接:
https://thecyberexpress.com/google-recaptcha-trojanized-by-russian-hackers/