【安全资讯】UAC-0020 (Vermin) 利用 SPECTR 恶意软件和合法 SyncThing 攻击乌克兰防御力量(“SickSync”行动)
概要:
乌克兰政府计算机应急响应小组(CERT-UA)与乌克兰武装部队网络安全中心(ЦКБ)合作,发现并研究了黑客组织UAC-0020(Vermin)针对乌克兰防御力量的活动。此次攻击使用了自2019年已知的SPECTR恶意软件,并利用合法的SyncThing软件进行数据窃取。此次行动被命名为“SickSync”。主要内容:
乌克兰政府计算机应急响应小组(CERT-UA)与乌克兰武装部队网络安全中心(ЦКБ)合作,发现并研究了黑客组织UAC-0020(Vermin)针对乌克兰防御力量的活动。Vermin组织的活动由临时占领的卢甘斯克的执法机构人员指挥,最近一次活动是在2022年3月。此次攻击使用了自2019年已知的SPECTR恶意软件,并利用合法的SyncThing软件进行数据窃取。在这次攻击中,黑客向受害者发送了一封包含密码保护的压缩文件“туррель.фоп.вовчок.rar”的电子邮件。压缩文件中包含一个RARSFX压缩文件“туррель.фоп.вовчок.sfx.rar.scr”,其中包含诱饵文件“Wowchok.pdf”、由InnoSetup创建的EXE安装程序“sync.exe”和用于初始启动的BAT文件“run_user.bat”。“sync.exe”文件包含了SyncThing的合法组件以及SPECTR恶意软件的文件。
SPECTR恶意软件的模块包括SpecMon、Screengrabber、FileGrabber、Usb、Social和Browsers。SpecMon模块调用PluginLoader.dll,后者执行所有包含“IPlugin”类的DLL文件。Screengrabber模块每10秒截图一次,FileGrabber模块使用robocopy.exe从特定目录复制文件,Usb模块从USB设备复制文件,Social模块窃取即时通讯软件的配置数据,Browsers模块窃取浏览器数据。
被窃取的信息被复制到%APPDATA%\sync\Slave_Sync\目录下,然后通过SyncThing的同步功能传输到攻击者的计算机。网络指标显示,SyncThing的基础设施与攻击活动有关。此次活动被命名为“SickSync”,以提醒相关人员提高警惕并采取防护措施。
0条评论
看了这么久,请
登录
,对他说点啥~
0
0
分享
微信扫一扫分享