乌克兰 CERT-UA 计算机应急响应组织披露了一项网络钓鱼攻击活动。电子邮件名为“Кібератака”(在乌克兰语中意为网络攻击),伪装成来自 CERT-UA 的安全通知,并带有一个 RAR 存档文件“UkrScanner.rar”附件。当打开该文件时,会部署一个名为 CredoMap_v2 的恶意软件。CERT-UA将此活动归因于俄罗斯APT28组织。
Google TAG发布了东欧网络活动的更新报告,表示越来越多的攻击者利用战争作为网络钓鱼和恶意软件活动的诱饵,并且更多地针对关键基础设施,包括石油和天然气、电信和制造业。 报告中披露:俄罗斯APT28组织(又名Fancy Bear)使用新的恶意软件变种针对乌克兰的用户;俄罗斯Turla组织针对波罗的海国家的国防和网络安全组织开展活动;俄罗斯COLDRIVER组织(又名Callisto)使用 Gmail 帐户发送凭据网络钓鱼电子邮件,目标包括政府和国防官员、政治家、非政府组织和智囊团以及记者;白俄罗斯Ghostwriter组织通过凭据网络钓鱼攻击Gmail帐户。
7月1日,美国和英国网络安全机构发布了一份联合声明,题为《俄罗斯GRU发起全球暴力行动,破坏企业和云环境》,报告称俄军总参谋部情报总局(GRU)从2019年以来对全球数百个公私部门为目标发动了网络攻击。美国国家安全局(NSA)、网络安全和基础设施安全局(CISA)、联邦调查局(FBI)和英国国家网络安全中心(NCSC)将此次网络攻击归因于俄罗斯政府,特别是与GRU有关的APT28(又名Fancy Bear、Strontium)网络间谍组织。俄罗斯通过蛮力攻击,尝试访问包括美国和欧洲在内的大量政府和军队、政治顾问和政党、国防承包商、能源公司、物流公司、智库、大学、律师事务所等机构,目标是获取有效凭据,以进一步访问受害者网络。
研究人员发现了一种名为 SkinnyBoy 的新恶意软件,SkinnyBoy的功能是窃取受感染系统的信息, 并从C2 服务器检索下一个有效负载。俄罗斯黑客组织 APT28 在针对军事和政府机构发起的鱼叉式网络钓鱼活动中使用了SkinnyBoy,攻击的主要目标为外交部、大使馆、国防工业和军事 。研究人员表示,APT28 可能在 3 月初就发起了这项网络钓鱼活动,多名受害者集中在欧盟,该活动也可能影响了美国的组织。SkinnyBoy 通过带有宏的 Microsoft Word 文档传播,该宏提取充当恶意软件下载程序的 DLL 文件。诱饵是一条伪造的邀请信息,邀请受害者参加 7 月底在西班牙举行的国际科学活动。打开邀请会触发感染链,首先提取一个 DLL 来检索 SkinnyBoy dropper (tpd1.exe),这是一个下载主要负载的恶意文件。进入系统后,dropper 建立持久性并移动以提取下一个有效负载,该有效负载以 Base64 格式编码并附加为可执行文件的覆盖层,如下图所示:
近日,研究人员捕获两例哈萨克斯坦地区的上传样本,样本以哈萨克斯坦Kazchrome企业信息为诱饵,Kazchrome据称是全球最大的高碳铬铁生产商。诱导受害者启用恶意宏,一旦宏被启用后,恶意宏将释放执行远控木马到计算机执行,经分析溯源发现,释放执行的木马疑似是奇幻熊组织常用Zebrocy变种。奇幻熊组织,业界对其有各种别名:APT28、Sednit、Pawn Storm、Sofacy Group、STRONTIUM,主要针对高加索和北约开展网络攻击活动,近期其目标越来越多出现在中亚地区,主要攻击领域为对政府军事和安全组织。
近日,奇安信红雨滴团队在日常高价值威胁挖掘过程中,捕获两例哈萨克斯坦地区上传样本,样本以哈萨克斯坦Kazchrome企业信息为诱饵,Kazchrome据称是全球最大的高碳铬铁生产商。诱导受害者启用恶意宏,一旦宏被启用后,恶意宏将释放执行远控木马到计算机执行,经分析溯源发现,释放执行的木马疑似是奇幻熊组织常用Zebrocy变种。 奇幻熊组织,业界对其有各种别名:APT28、Sednit、Pawn Storm、Sofacy Group、STRONTIUM,主要针对高加索和北约开展网络攻击活动,近期其目标越来越多出现在中亚地区,主要攻击领域为对政府军事和安全组织。
法国国家网络安全局(ANSSI)将过去四年多起法国IT提供商遭到入侵的事件与Sandworm(APT28)黑客组织联系在一起。在受感染的系统上,ANSSI发现以webshell形式存在后门,该后门落在暴露于Internet的几台Centreon服务器上。该后门被标识为PAS Webshell,版本号3.1.4。在同一台服务器上,ANSSI发现了另一个与ESET描述的后门相同的后门,并命名为Exaramel。ANSSI无法确定服务器是如何被入侵的。因此,目前尚不清楚攻击者是利用了Centreon软件的漏洞,还是受害者遭受供应链攻击。受这场大型攻击活动影响最大的是信息技术提供商,尤其是网络托管提供商。
2020年,Pawn Storm组织通过Google云端硬盘传播IMAP远程访问木马(RAT)来攻击目标,例如外交部,大使馆,国防工业和军事部门。RAT也被发送到更广泛的目标网络,包括世界各地的各个行业。该组织还进行了广泛的暴力攻击,以窃取凭据,例如公司电子邮件帐户的凭据。Pawn Storm甚至在其IMAP RAT恶意软件中对军方和政府相关的电子邮件地址进行了硬编码,以与受害者的计算机进行通信。最近,挪威当局宣布Pawn Storm通过蛮力攻击入侵了挪威议会 。仅通过样本,很难将其归因于Pawn Storm。但是,基于对Pawn Storm组织活动的长期监控,我们认为本次攻击活动的归因是Pawn Storm组织。
研究人员在11月份发现了Go版本的Zebrocy恶意软件,Zebrocy是通过COVID-19网络钓鱼诱饵进行分发的。Zebrocy是APT28组织所使用的恶意软件,主要用于对付从事外交事务的政府和商业组织。攻击者似乎已从Delphi版本的Zebrocy切换到11月中旬使用的Go版本。钓鱼诱饵包括有关国药国际公司的文件,国药国际公司是一家正在生产COVID-19疫苗的制药公司,目前正在进行三期临床试验,还有民航总局的假冒撤离信。国药国际有限公司是一家中国药品制造商。它是中国目前正在研发COVID-19疫苗的公司之一。他们的疫苗目前正在接受第三阶段的临床试验,但已经提供给近一百万人。
Intezer研究人员在11月发现用于交付Go版本Zebrocy的COVID-19网络钓鱼诱饵。Zebrocy主要用于针对从事外交事务的政府和商业组织。诱饵包括有关国药国际公司的文件和印度民用航空总局的虚假撤离信,国药国际公司是一家正在生产COVID-19疫苗的制药公司,目前正在进行三期临床试验。 诱饵文件是作为虚拟硬盘(VHD)文件的一部分提供的,该文件要求受害者使用Windows 10访问这些文件。一旦用户双击该文件,则将安装该驱动器,并显示为外部硬盘驱动器。VHD文件包括两个文件,一个PDF文档和一个伪装成Microsoft Word文档的可执行文件。PDF文件包含有关国药控股国际公司的演示幻灯片。第二个文件是恶意软件,即用Go语言编写的Zebrocy。