威胁情报信息分享|CERT-UA 发现新一波分发 OCEANMAP、MASEPIE、STEELHOOK 的恶意软件

乌克兰计算机紧急响应小组（CERT-UA）警告说，与俄罗斯有关联的APT28组织策划了一场新的网络钓鱼活动，部署了以前未记录的恶意软件，如OCEANMAP、MASEPIE和STEELHOOK，以窃取敏感信息。

这一活动于2023年12月15日至25日被该机构侦测到，针对的是乌克兰政府机构和波兰组织，通过电子邮件消息敦促收件人点击链接查看文档。

然而，这些链接实际上会重定向到滥用JavaScript和"search-ms:" URI协议处理器的恶意网络资源，这些资源会释放一个Windows快捷方式文件（LNK），该文件启动PowerShell命令来激活一种名为MASEPIE的新恶意软件的感染链。

MASEPIE是一个基于Python的工具，用于下载/上传文件和执行命令，与指挥控制（C2）服务器的通信通过使用TCP协议的加密频道进行。

这些攻击为部署额外的恶意软件铺平了道路，包括一个名为STEELHOOK的PowerShell脚本，能够收集网络浏览器数据，并以Base64编码格式导出到由攻击者控制的服务器。

还交付了一个基于C#的后门程序，被称为OCEANMAP，旨在使用cmd.exe执行命令。

CERT-UA表示，“使用IMAP协议作为控制通道”，并通过在Windows启动文件夹中创建一个名为“VMSearch.url”的URL文件来实现持久性。

“命令以Base64编码形式包含在相应电子邮件目录的‘草稿’中；每个草稿包含计算机的名称、用户的名称和操作系统的版本。命令的结果存储在收件箱目录中。”

该机构进一步指出，在最初的妥协发生后的一个小时内，通过利用像Impacket和SMBExec这样的工具进行侦察和横向移动活动。

在IBM X-Force披露APT28使用与持续的以色列-哈马斯战争有关的诱饵来促进定制后门HeadLace交付的几周后，此次披露出现。

最近几周，这个屡次出现的克里姆林宫支持的黑客组织还被认为是利用其Outlook电子邮件服务中的一个现已修补的关键安全漏洞（CVE-2023-23397，CVSS评分：9.8），以在Exchange服务器内未经授权地访问受害者账户。

原文始发于微信公众号（XDsecurity）：威胁情报信息分享|CERT-UA 发现新一波分发 OCEANMAP、MASEPIE、STEELHOOK 的恶意软件