网络钓鱼活动针对与乌克兰难民合作的欧盟官员

随着乌克兰战争的继续，安全研究人员发现了一种看起来像是秘密网络战的新尝试。这一次，威胁行为者针对的是与逃离饱受战争蹂躏的国家的乌克兰难民合作的欧盟工作人员和官员。

网络钓鱼攻击使用受感染的电子邮件

安全公司 Proofpoint 的研究人员发布了一份关于此次攻击的报告。根据 Proofpoint 的说法，一个“可能的”国家支持的演员正在瞄准正在处理来自乌克兰的难民潮的欧洲政府官员。网络钓鱼攻击是使用属于乌克兰军方的电子邮件地址进行的，该电子邮件地址此前已被威胁者入侵。

网络钓鱼电子邮件中包含的有效负载包含一个名为“list of persons.xlsx”的附加 Excel 文件，其中嵌入了恶意宏。如果被执行，宏会尝试抓取一个用 Lua 编写的名为“SunSeed”的恶意二级有效载荷。网络钓鱼邮件来自的电子邮件属于乌克兰军方成员和 ukr.net 邮件域。

当谈到网络钓鱼电子邮件的社会工程方面时，该邮件的主题为“根据乌克兰安全委员会 2022 年 2 月 24 日紧急会议的决定”。这与电子邮件标题日期前一天北约安理会召开的紧急会议有关。另一方面，附件的文件名旨在援引 2 月下旬成为新闻的乌克兰目标的“杀戮名单”。

SunSeed 恶意软件的工作原理

有效载荷安装了许多 Lua 依赖项，然后执行恶意 SunSeed Lua 脚本，最后通过使用快捷方式 .lnk 文件设置持久性。还安装了合法 Lua 代码解释器的修改版本。有问题的解释器称为 sppsvc.exe，并且这个特定版本已被修改，因此它不会向 Windows 控制台输出任何内容，以掩盖恶意软件的活动。

用于持久性的快捷方式文件称为 Software Protection Service.lnk，并在 ~\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ 下创建。

尽管 Proofpoint 认为这是一个国家支持的实体，但没有确凿的证据表明任何特定国家的任何特定群体。这份报告发布之际，据报道，已有超过 100 万乌克兰人逃离该国并在乌克兰境外寻求庇护。乌克兰难民的涌入甚至促使传统上每年难民配额极低的日本向逃离战争的人开放边境。