乌克兰计算机应急响应团队(CERT-UA)警告,Vermin 组织正在实施一个新的钓鱼活动,散发恶意软件。Vermin 是一组俄罗斯支持的黑客组织,也被追踪为UAC-0020,隶属于乌克兰卢甘斯克地区暂时占领的法警机构的控制之下。攻击者使用与乌克兰边境进攻相关的诱饵。钓鱼信息包括来自库尔斯克地区的 allegedly 的战俘图片,内容旨在欺骗受害者点击指向 ZIP 归档(“spysok_kursk.zi”)的链接。
ZIP归档包含一个 Microsoft 编译的 HTML 帮助文件(CHM),该文件包含一个 JavaScript 代码,执行了一个混淆的 PowerShell 脚本。Vermin 组织在这次活动中尝试部署两个恶意代码,之前知晓的 Spectr间谍软件,以及一个新的恶意软件家族 Firmachagent。
2024 年 6 月,乌克兰 CERT-UA 警告了防御力量受到 SPECTR 间谍软件的网络攻击,这是 SickSync 间谍活动的一部分。CERT-UA 的报告中写道:“PowerShell 代码旨在下载 SPECTR 间谍软件的组件(盗窃文档、截图、浏览器数据等)和一个新的程序 Firmachagent(主要负责将盗窃数据上传到命令服务器)。它还创建了计划任务来运行协调器‘IDCLIPNET_x86.dll’(管理 SPECTR 插件)和 Firmachagent。”CERT-UA 建议通过减少攻击面来减少这个网络威胁。可以通过限制用户帐户权限(从“管理员”组中删除它们)和实施策略,如 SRP/AppLocker,以防止用户执行 .CHM 文件和 powershell.exe。CERT-UA 的报告还包括入侵迹象(IoCs)。
原文始发于微信公众号(黑猫安全):俄罗斯支持组织Vermin对乌克兰发动攻击,使用了一种新的恶意软件家族
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论