恶意软件在 SickSync 活动中针对国防军

乌克兰计算机应急响应小组 （CERT-UA） 警告说，针对该国国防军的网络攻击使用名为 SPECTR 的恶意软件，作为名为 SickSync 的间谍活动的一部分。

该机构将这些攻击归咎于其以绰号UAC-0020跟踪的威胁行为者，该行为者也被称为害虫，并被评估为与卢甘斯克人民共和国（LPR）的安全机构有关。LPR 在 2022 年 2 月军事入侵乌克兰前几天被俄罗斯宣布为主权国家。

攻击链从鱼叉式网络钓鱼电子邮件开始，其中包含包含诱饵 PDF 文件的 RAR 自解压存档文件、包含 SPECTR 有效负载的 SyncThing 应用程序的木马版本，以及通过启动可执行文件激活感染的批处理脚本。

SPECTR 通过每 10 秒抓取屏幕截图、收集文件、从可移动 USB 驱动器收集数据、窃取凭据以及从 Element、Signal、Skype 和 Telegram 等 Web 浏览器和应用程序中窃取凭据来充当信息窃取者。

“同时，为了从计算机上传被盗的文档，文件，密码和其他信息，使用了合法SyncThing软件的标准同步功能，除其他外，该功能还支持在计算机之间建立点对点连接，”CERT-UA说。

SickSync 标志着 Vermin 组织在长期缺席后的回归，此前曾观察到该组织策划了针对乌克兰国家机构的网络钓鱼活动，以在 2022 年 3 月部署 SPECTR 恶意软件。众所周知，自 2019 年以来，演员一直在使用 SPECTR。

Vermin 也是分配给 .NET 远程访问木马的名称，该木马近八年来一直用于针对各种乌克兰政府机构。Palo Alto Networks Unit 42 于 2018 年 1 月首次公开报告了这一事件，ESET 随后的分析将攻击者的活动追溯到 2015 年 10 月。

CERT-UA警告说，社会工程攻击利用Signal即时通讯应用程序作为分发载体，提供名为DarkCrystal RAT（又名DCRat）的远程访问木马。它们已链接到代号为 UAC-0200 的活动集群。

该机构表示：“我们再次注意到使用信使和合法受感染帐户的网络攻击强度增加的趋势。“同时，以一种或另一种方式，鼓励受害者在计算机上打开文件。

在此之前，还发现了由白俄罗斯国家资助的黑客 GhostWriter（又名 UAC-0057 和 UNC1151）进行的恶意软件活动，该活动在针对乌克兰国防部的攻击中使用了诱杀装置Microsoft Excel 文档。

“在执行包含嵌入式VBA宏的Excel文档时，它会删除LNK和DLL加载程序文件，”Broadcom旗下的赛门铁克说。“随后，运行 LNK 文件会启动 DLL 加载程序，这可能会导致可疑的最终有效载荷，包括 AgentTesla、Cobalt Strike 信标和 njRAT。”

原文始发于微信公众号（信息安全大事件）：恶意软件在 SickSync 活动中针对国防军