俄罗斯相关黑客组织针对欧洲、美洲和亚洲多国开展钓鱼攻击
2024-3-19 15:54:51 Author: mp.weixin.qq.com(查看原文) 阅读量:3 收藏

俄罗斯关联的高级持续性威胁(APT)组织APT28(又名Blue Athena、BlueDelta、Fancy Bear、Fighting Ursa、Forest Blizzard、FROZENLAKE、Iron Twilight、Pawn Storm、Sednit、Sofacy、TA422、UAC-028)正被发现在全球范围内进行大规模钓鱼攻击活动。IBM X-Force最近发布的报告显示,该黑客组织与多起正在进行的钓鱼攻击有关,这些攻击通过模仿欧洲、南高加索、中亚、北美和南美的政府及非政府组织(NGO)文件作为诱饵。

报告指出,APT28使用的诱饵文件包括内部资料、公开可用的文件以及可能由该组织制造的相关文档,内容涉及金融、关键基础设施、高层会晤、网络安全、海上安全、医疗保健、商业和国防工业生产等领域。

在披露这一消息之前,该对手曾被发现利用与以色列-哈马斯冲突相关的诱饵传播定制后门程序HeadLace。自那以后,APT28还针对乌克兰政府实体和波兰组织发起钓鱼攻击,意图部署定制植入物和信息窃取器如MASEPIE、OCEANMAP和STEELHOOK。

此外,该组织还利用了Microsoft Outlook中的安全漏洞(CVE-2023-23397,CVSS评分:9.8),以窃取NT LAN Manager(NTLM)v2散列值,从而增加了他们可能会利用其他弱点盗取并利用NTLMv2散列值进行中继攻击的可能性。

IBM X-Force 在 2023 年 11 月下旬至 2024 年 2 月期间观察到的最新活动利用Microsoft Windows 中的“search-ms:”URI 协议处理程序来诱骗受害者下载托管在攻击者控制的 WebDAV 服务器上的恶意软件。

有证据表明,WebDAV 服务器以及 MASEPIE C2 服务器可能托管在受感染的 Ubiquiti 路由器上,该路由器是一个僵尸网络,上个月已被美国政府击落。

网络钓鱼攻击冒充来自阿根廷、乌克兰、格鲁吉亚、白俄罗斯、哈萨克斯坦、波兰、亚美尼亚、阿塞拜疆和美国等多个国家的实体,利用真实的公开政府和非政府诱饵文件来激活感染链。

安全研究人员 Joe Fasulo、Claire Zaboeva 和 Golo Mühr 表示:“在对其方法的更新中,ITG05 正在利用免费的托管提供商 firstcloudit[.]com 来暂存有效负载,以实现持续的操作。”

APT28 精心策划的计划以 MASEPIE、OCEANMAP 和 STEELHOOK 的执行而告终,这些软件旨在窃取文件、运行任意命令和窃取浏览器数据。OCEANMAP 被认为是 CredoMap 的功能更强大的版本,CredoMap 是该组织先前确定使用的另一个后门。

研究人员总结道:“ITG05 通过提供新的感染方法和利用商用基础设施,同时不断发展恶意软件功能,始终能够适应机会的变化。”

原文来源:E安全
“投稿联系方式:孙中豪 010-82992251   [email protected]


文章来源: https://mp.weixin.qq.com/s?__biz=MzkyMzAwMDEyNg==&mid=2247542814&idx=3&sn=dc898515f921c1aac77889555ebc8149&chksm=c1e9a44ff69e2d598c74f11b1b6bac29c0c10fa809c725328755fb4d3d473b19dc2064647fda&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh