大家好,我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标,否则可能就无法及时看到啦!因为公众号现在只对常读和星标的公众号才能大图推送。操作方法:先点击上面的“紫队安全研究”,然后点击右上角的【...】,然后点击【设为星标】即可。
随着俄乌冲突的持续,网络战场上的对抗也愈加激烈。乌克兰计算机应急反应小组(CERT-UA)近日警告,一支名为 Vermin 的亲俄黑客组织,正在发起一场新的网络钓鱼攻击,并传播恶意软件,目标直指乌克兰及其盟友的关键系统。那么,Vermin究竟是什么组织?他们使用了哪些攻击手段?我们又该如何防范这些威胁?接下来,本文将为您揭开这一网络战的神秘面纱。
一、Vermin组织:亲俄黑客的新动作
Vermin 是一个亲俄黑客组织,被追踪为 UAC-0020,其成员据说隶属于卢甘斯克的执法机构。该组织长期以来以针对乌克兰的网络攻击而闻名,此次攻击更是瞄准了乌克兰及相关领域的防御系统,试图通过钓鱼邮件获取机密信息。
在这次行动中,Vermin黑客利用了极具诱惑力的钓鱼邮件,内容涉及乌克兰与俄罗斯边境冲突的诱饵信息,例如来自库尔斯克地区战俘的图像,旨在引导收件人点击一个伪装成ZIP文件的恶意链接。
二、恶意代码的幕后推手:SPECTR 和 FIRMACHAGENT
Vermin组织通过网络钓鱼邮件传播恶意软件,使用了两种关键恶意代码:SPECTR 和 FIRMACHAGENT。
- SPECTR 是一种间谍软件,能够窃取文档、屏幕截图、浏览器数据等多种信息。这款恶意软件曾在早前的网络间谍活动中被广泛使用,尤其是在针对乌克兰国防部队的攻击中。
- FIRMACHAGENT 是新型恶意软件家族的一部分,专门用于将窃取的数据上传到黑客控制的服务器。它通过伪装成合法的文件(例如“chrome_updater.dll”)潜入受害者的系统,进一步破坏系统安全。
在此次攻击中,Vermin黑客通过复杂的PowerShell脚本和混淆技术,将恶意软件伪装成CHM文件(一种编译的HTML帮助文件),当受害者下载并打开这个ZIP文件时,恶意代码便会悄无声息地执行。
三、黑客战术揭秘:巧妙的诱饵和隐蔽的攻击
Vermin这次的网络钓鱼攻击充分利用了社会工程学手段,使用与乌克兰和俄罗斯边境冲突相关的“战俘”图像来引诱目标,进一步增加了受害者点击恶意链接的可能性。
恶意ZIP文件中包含的CHM文件,表面上看像是普通的帮助文档,实则隐藏了复杂的PowerShell脚本,该脚本会下载和安装恶意软件,从而在不知不觉中控制受害者的设备。
结语:数字战场的无形威胁
在现代战争中,网络战已成为影响战局的重要组成部分。Vermin这样的黑客组织利用高超的技术和社会工程学手段,试图通过网络钓鱼和恶意软件窃取情报、破坏系统。面对这些无形的威胁,每个人和组织都必须时刻保持警惕,加强网络防御,以应对可能的攻击。
网络安全不仅仅是专家们的责任,它需要我们每个人都参与其中。通过提升安全意识、使用正确的工具和策略,我们可以在这场没有硝烟的战争中占据主动。
推荐阅读:知识星球连载创作"全球高级持续威胁:网络世界的隐形战争",总共26章,相信能够为你带来不一样的世界认知,欢迎感兴趣的朋友加入沟通交流。
欢迎喜欢文章的朋友点赞、转发、赞赏,你的每一次鼓励,都是我继续前进的动力。
原文始发于微信公众号(紫队安全研究):乌克兰CERT-UA警告:Vermin组织新型网络钓鱼攻击曝光!
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论