针对乌克兰国防实体的后门恶意软件

已发现一种基于 .NET 的新后门，名为 DeliveryCheck（也称为 CAPIBAR 或 GAMEDAY），专门针对乌克兰和东欧的国防部门。这个复杂的后门能够传递后续的有效负载。

这些攻击被归咎于俄罗斯民族国家演员图拉（Turla），该演员有不同的名字，如钢铁猎人（Iron Hunter）、秘密暴雪（Secret Blizzard）（以前称为氪星（Krypton））、奥罗布洛斯（Uroburos）、毒熊（Venomous Bear）和水虫（Waterbug）。据了解，Turla 与俄罗斯联邦安全局 (FSB) 有联系。攻击媒介涉及通过电子邮件分发 DeliveryCheck，利用包含恶意宏的文档。一旦渗透，DeliveryCheck 就会通过计划任务持续存在，该任务会下载并在内存中执行它。此外，它还与命令和控制 (C2) 服务器通信以检索任务，包括启动嵌入 XSLT 样式表中的任意有效负载。

初始攻击使用 Kazuar 植入物

在某些情况下，初始访问伴随着名为 Kazuar 的已知 Turla 植入物的分发。该植入程序能够从网络浏览器窃取应用程序配置文件、事件日志和各种数据。这些攻击的主要目标是从 Windows 上的 Signal 消息应用程序中窃取消息，使攻击者能够访问目标系统上的敏感对话、文档和图像。

DeliveryCheck 的一个重要方面是它能够通过使用 PowerShell Desired State Configuration (DSC)（一个促进 Windows 系统自动配置的平台）安装服务器端组件来危害 Microsoft Exchange 服务器。这允许 DSC 生成包含 PowerShell 脚本的托管对象格式 (MOF) 文件，该脚本将嵌入式 .NET 负载加载到内存中，从而有效地将合法服务器转变为恶意 C2 中心。

乌克兰摧毁了宣传机器人农场

与此同时，乌克兰网络警察成功摧毁了一个大型机器人农场，涉及 100 多人散布敌意宣传，为俄罗斯入侵辩护。该组织还参与泄露乌克兰公民的个人信息并执行各种欺诈计划。作为此次行动的一部分，我们在 21 个地点进行了搜查，查获了属于不同移动运营商的计算机设备、手机、250 多个 GSM 网关以及约 150,000 张 SIM 卡。