乌克兰计算机应急响应小组(CERT-UA)报告称,UAC-0020 (Vermin)黑客组织发起了一场名为“SickSync”的新活动,旨在攻击乌克兰国防部队。
该威胁组织与卢甘斯克人民共和国(LPR)地区有关,自2022年10月以来,俄罗斯几乎完全占领了该地区。黑客的活动通常与俄罗斯的利益一致。
这次攻击利用了合法的文件同步软件SyncThing和名为spectrr的恶意软件。
“害虫”的动机显然是窃取军事组织的敏感信息。
攻击的细节
攻击开始时,会向目标发送一封网络钓鱼电子邮件,其中包含一个名为“turrel. foo .wolf.rar”的受密码保护的RARSFX档案。
发送给目标的邮件
在启动文件时,它提取一个PDF (" wowchokk . PDF ")、一个安装程序("sync.exe")和一个BAT脚本("run_user.bat")。BAT执行sync.exe,其中包含SyncThing和specr恶意软件,以及所需的库。
RAR存档的内容
SyncThing建立数据同步点对点连接,用于窃取文档和账户密码。
使用新的目录名称和计划任务修改合法工具以逃避识别,而在活动时显示窗口的组件已被删除。
spectrr是一种模块化恶意软件,具有以下功能:
-
调用PluginLoader.dll来执行包含"IPlugin"类的dll。
-
截屏:当检测到特定的程序窗口时,每10秒截取一次屏幕截图。
-
FileGrabber:使用robocopy.exe从用户目录(如Desktop, MyPictures, Downloads, OneDrive和DropBox)复制文件。
-
Usb:从可移动Usb媒体复制文件。
-
社交:窃取各种信使的身份验证数据,如Telegram, Signal, Skype和Element。
-
浏览器:窃取Firefox、Edge和Chrome等浏览器的数据,主要窃取身份验证数据、会话信息和浏览历史记录。
被spectrr窃取的数据被复制到“%APPDATA%syncServe_Sync”目录下的子文件夹中,随后通过同步传输到威胁行为者的系统。
Vermin部署的两个组件
CERT-UA认为,Vermin决定使用合法工具进行数据泄露,以减少安全系统将网络流量标记为可疑的可能性。
网络安全机构指出,任何与SyncThing的基础设施(例如,*.syncthing.net)的交互都应该足以考虑系统受到损害,并启动调查以检测和根除感染。
原文始发于微信公众号(HackSee):乌克兰称黑客滥用SyncThing工具窃取数据
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论