【安全资讯】UNC1151再度出击：揭示其针对乌克兰国防部的战术

概要：

Cyble研究与情报实验室（CRIL）最近发现了一场与UNC1151高级持续性威胁（APT）组织相关的恶意Excel文档攻击活动。UNC1151组织源自白俄罗斯，主要针对东欧国家，包括乌克兰、立陶宛、拉脱维亚和波兰等。此次活动显示，该组织可能将目标对准乌克兰国防部，通过诱饵文档进行攻击。

主要内容：

UNC1151组织通过恶意Excel文档进行攻击，这些文档包含嵌入的VBA宏内容，会释放LNK和DLL加载器文件。执行LNK文件后，DLL加载器会启动，可能导致最终的恶意负载感染。在去年的活动中，攻击者通过DLL加载器获取加密的JPG文件，并解密以部署最终的可执行负载。而在此次新的活动中，攻击者可能会获取加密的SVG文件，并解密以传递另一个DLL负载文件。

此次活动的一个显著变化是感染链中的DLL执行阶段增加到了两个，而之前的活动中只有一个DLL执行阶段。尽管在分析中未能获取到加密的负载，但怀疑最终的负载可能包括AgentTesla、Cobalt Strike信标和njRAT，这与之前的UNC1151活动类似。

UNC1151组织的活动被认为是支持俄罗斯安全利益的一部分，旨在传播对北约不利的叙述。自2017年3月以来，该组织主要通过被攻陷的网站和伪造的电子邮件账户传播虚假信息，目标受众主要是乌克兰、立陶宛、拉脱维亚和波兰的民众。

此次活动的感染链可能始于包含恶意Excel文档的垃圾邮件。当用户执行Excel文档时，嵌入的VBA宏内容会释放LNK和DLL文件。执行LNK文件后，DLL加载器会启动，最终导致恶意软件感染目标系统。新活动中的TTP变化包括从之前的JPG文件转向SVG文件作为加密负载。

UNC1151组织持续进行恶意软件活动，表明其主要动机是窃取信息并远程访问受感染的系统。这一持续的威胁强调了采取严密网络安全措施的重要性，以应对其不断演变的战术。