新型 GIFTEDCROOK 窃密软件瞄准乌克兰政府机构

admin 2025年4月9日22:29:13评论17 views字数 1338阅读4分27秒阅读模式

导 

乌克兰计算机应急反应小组 (CERT-UA)披露了一系列针对乌克兰机构的网络攻击,这些攻击使用窃取信息的恶意软件。

新型 GIFTEDCROOK 窃密软件瞄准乌克兰政府机构

该机构表示,此次活动针对的是军事组织、执法机构和地方自治机构,特别是位于乌克兰东部边境附近的机构。

这些攻击涉及分发包含启用宏的 Microsoft Excel 电子表格 (XLSM) 的网络钓鱼电子邮件,该电子表格在打开后会协助部署两个恶意软件,一个是从PSSW100AVB(“具有 100% AV 绕过的 Powershell 脚本”)GitHub 存储库获取的 PowerShell 脚本,可打开反向 shell,另一个是之前未记录的名为 GIFTEDCROOK 的窃密程序。

CERT-UA 表示:“文件名和电子邮件主题涉及相关敏感问题,例如排雷、行政罚款、无人机生产和被毁财产的赔偿。这些电子表格包含恶意代码,在打开文档并启用宏后,会自动转变为恶意软件并在用户不知情的情况下执行。”

GIFTEDCROOK 用 C/C++ 编写,有助于窃取 Google Chrome、Microsoft Edge 和 Mozilla Firefox 等网络浏览器中的敏感数据,例如 cookie、浏览历史记录和身份验证数据。

电子邮件信息通常通过受感染的账户通过电子邮件客户端的 Web 界面发送,使信息具有合法性,并诱骗潜在受害者打开文档。

CERT-UA 将此活动归咎于威胁集群 UAC-0226,尽管它尚未与特定国家/地区相关联。

新型 GIFTEDCROOK 窃密软件瞄准乌克兰政府机构

与此同时,一名名为 UNC5837 的疑似俄罗斯间谍行为者涉嫌参与 2024 年 10 月针对欧洲政府和军事组织的网络钓鱼活动。

谷歌威胁情报小组 (GTIG)表示:“该活动使用签名的 .RDP 文件附件与受害者的机器建立远程桌面协议 (RDP) 连接。”

“与专注于交互式会话的典型 RDP 攻击不同,此活动创造性地利用了资源重定向(将受害者文件系统映射到攻击者服务器)和 RemoteApps(向受害者展示攻击者控制的应用程序)。”

RDP 活动此前已由 CERT-UA、Amazon Web Services 和 Microsoft 于 2024 年 10 月 记录,随后由 Trend Micro 于 12 月记录。CERT-UA 正在以 UAC-0215 的名义跟踪该活动,而其他人则将其归因于俄罗斯国家支持的黑客组织 APT29。

此次攻击还值得注意的是,它可能使用名为 PyRDP 的开源工具来自动执行文件泄露和剪贴板捕获等恶意活动,其中包括密码等潜在敏感数据。

GTIG 在一份报告中表示:“此次攻击活动可能使攻击者能够读取受害者驱动器、窃取文件、捕获剪贴板数据(包括密码)并获取受害者环境变量。UNC5837 的主要目标似乎是间谍活动和文件窃取。”

技术报告:

https://cert.gov.ua/article/6282946

https://cloud.google.com/blog/topics/threat-intelligence/windows-rogue-remote-desktop-protocol

新闻链接:

https://thehackernews.com/2025/04/uac-0226-deploys-giftedcrook-stealer.html

新型 GIFTEDCROOK 窃密软件瞄准乌克兰政府机构

原文始发于微信公众号(军哥网络安全读报):新型 GIFTEDCROOK 窃密软件瞄准乌克兰政府机构

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年4月9日22:29:13
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   新型 GIFTEDCROOK 窃密软件瞄准乌克兰政府机构https://cn-sec.com/archives/3934034.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息