【安全资讯】UAC-0020 (Vermin) 利用 SPECTR 恶意软件和合法 SyncThing 攻击乌克兰防御力量（“SickSync”行动）

概要：

乌克兰政府计算机应急响应小组（CERT-UA）与乌克兰武装部队网络安全中心（ЦКБ）合作，发现并研究了黑客组织UAC-0020（Vermin）针对乌克兰防御力量的活动。此次攻击使用了自2019年已知的SPECTR恶意软件，并利用合法的SyncThing软件进行数据窃取。此次行动被命名为“SickSync”。

主要内容：

乌克兰政府计算机应急响应小组（CERT-UA）与乌克兰武装部队网络安全中心（ЦКБ）合作，发现并研究了黑客组织UAC-0020（Vermin）针对乌克兰防御力量的活动。Vermin组织的活动由临时占领的卢甘斯克的执法机构人员指挥，最近一次活动是在2022年3月。此次攻击使用了自2019年已知的SPECTR恶意软件，并利用合法的SyncThing软件进行数据窃取。

在这次攻击中，黑客向受害者发送了一封包含密码保护的压缩文件“туррель.фоп.вовчок.rar”的电子邮件。压缩文件中包含一个RARSFX压缩文件“туррель.фоп.вовчок.sfx.rar.scr”，其中包含诱饵文件“Wowchok.pdf”、由InnoSetup创建的EXE安装程序“sync.exe”和用于初始启动的BAT文件“run_user.bat”。“sync.exe”文件包含了SyncThing的合法组件以及SPECTR恶意软件的文件。

SPECTR恶意软件的模块包括SpecMon、Screengrabber、FileGrabber、Usb、Social和Browsers。SpecMon模块调用PluginLoader.dll，后者执行所有包含“IPlugin”类的DLL文件。Screengrabber模块每10秒截图一次，FileGrabber模块使用robocopy.exe从特定目录复制文件，Usb模块从USB设备复制文件，Social模块窃取即时通讯软件的配置数据，Browsers模块窃取浏览器数据。

被窃取的信息被复制到%APPDATA%\sync\Slave_Sync\目录下，然后通过SyncThing的同步功能传输到攻击者的计算机。网络指标显示，SyncThing的基础设施与攻击活动有关。此次活动被命名为“SickSync”，以提醒相关人员提高警惕并采取防护措施。