新型 GIFTEDCROOK 窃密软件瞄准乌克兰政府机构

乌克兰计算机应急反应小组 (CERT-UA)披露了一系列针对乌克兰机构的网络攻击，这些攻击使用窃取信息的恶意软件。

该机构表示，此次活动针对的是军事组织、执法机构和地方自治机构，特别是位于乌克兰东部边境附近的机构。

这些攻击涉及分发包含启用宏的 Microsoft Excel 电子表格 (XLSM) 的网络钓鱼电子邮件，该电子表格在打开后会协助部署两个恶意软件，一个是从PSSW100AVB（“具有 100% AV 绕过的 Powershell 脚本”）GitHub 存储库获取的 PowerShell 脚本，可打开反向 shell，另一个是之前未记录的名为 GIFTEDCROOK 的窃密程序。

CERT-UA 表示：“文件名和电子邮件主题涉及相关敏感问题，例如排雷、行政罚款、无人机生产和被毁财产的赔偿。这些电子表格包含恶意代码，在打开文档并启用宏后，会自动转变为恶意软件并在用户不知情的情况下执行。”

GIFTEDCROOK 用 C/C++ 编写，有助于窃取 Google Chrome、Microsoft Edge 和 Mozilla Firefox 等网络浏览器中的敏感数据，例如 cookie、浏览历史记录和身份验证数据。

电子邮件信息通常通过受感染的账户通过电子邮件客户端的 Web 界面发送，使信息具有合法性，并诱骗潜在受害者打开文档。

CERT-UA 将此活动归咎于威胁集群 UAC-0226，尽管它尚未与特定国家/地区相关联。

与此同时，一名名为 UNC5837 的疑似俄罗斯间谍行为者涉嫌参与 2024 年 10 月针对欧洲政府和军事组织的网络钓鱼活动。

谷歌威胁情报小组 (GTIG)表示：“该活动使用签名的 .RDP 文件附件与受害者的机器建立远程桌面协议 (RDP) 连接。”

“与专注于交互式会话的典型 RDP 攻击不同，此活动创造性地利用了资源重定向（将受害者文件系统映射到攻击者服务器）和 RemoteApps（向受害者展示攻击者控制的应用程序）。”

RDP 活动此前已由 CERT-UA、Amazon Web Services 和 Microsoft 于 2024 年 10 月 记录，随后由 Trend Micro 于 12 月记录。CERT-UA 正在以 UAC-0215 的名义跟踪该活动，而其他人则将其归因于俄罗斯国家支持的黑客组织 APT29。

此次攻击还值得注意的是，它可能使用名为 PyRDP 的开源工具来自动执行文件泄露和剪贴板捕获等恶意活动，其中包括密码等潜在敏感数据。

GTIG 在一份报告中表示：“此次攻击活动可能使攻击者能够读取受害者驱动器、窃取文件、捕获剪贴板数据（包括密码）并获取受害者环境变量。UNC5837 的主要目标似乎是间谍活动和文件窃取。”

技术报告：

https://cert.gov.ua/article/6282946

https://cloud.google.com/blog/topics/threat-intelligence/windows-rogue-remote-desktop-protocol

新闻链接：

https://thehackernews.com/2025/04/uac-0226-deploys-giftedcrook-stealer.html