【安全资讯】UNC1151再度出击:揭示其针对乌克兰国防部的战术
概要:
Cyble研究与情报实验室(CRIL)最近发现了一场与UNC1151高级持续性威胁(APT)组织相关的恶意Excel文档攻击活动。UNC1151组织源自白俄罗斯,主要针对东欧国家,包括乌克兰、立陶宛、拉脱维亚和波兰等。此次活动显示,该组织可能将目标对准乌克兰国防部,通过诱饵文档进行攻击。主要内容:
UNC1151组织通过恶意Excel文档进行攻击,这些文档包含嵌入的VBA宏内容,会释放LNK和DLL加载器文件。执行LNK文件后,DLL加载器会启动,可能导致最终的恶意负载感染。在去年的活动中,攻击者通过DLL加载器获取加密的JPG文件,并解密以部署最终的可执行负载。而在此次新的活动中,攻击者可能会获取加密的SVG文件,并解密以传递另一个DLL负载文件。此次活动的一个显著变化是感染链中的DLL执行阶段增加到了两个,而之前的活动中只有一个DLL执行阶段。尽管在分析中未能获取到加密的负载,但怀疑最终的负载可能包括AgentTesla、Cobalt Strike信标和njRAT,这与之前的UNC1151活动类似。
UNC1151组织的活动被认为是支持俄罗斯安全利益的一部分,旨在传播对北约不利的叙述。自2017年3月以来,该组织主要通过被攻陷的网站和伪造的电子邮件账户传播虚假信息,目标受众主要是乌克兰、立陶宛、拉脱维亚和波兰的民众。
此次活动的感染链可能始于包含恶意Excel文档的垃圾邮件。当用户执行Excel文档时,嵌入的VBA宏内容会释放LNK和DLL文件。执行LNK文件后,DLL加载器会启动,最终导致恶意软件感染目标系统。新活动中的TTP变化包括从之前的JPG文件转向SVG文件作为加密负载。
UNC1151组织持续进行恶意软件活动,表明其主要动机是窃取信息并远程访问受感染的系统。这一持续的威胁强调了采取严密网络安全措施的重要性,以应对其不断演变的战术。
0条评论
看了这么久,请
登录
,对他说点啥~
0
0
分享
微信扫一扫分享