针对乌克兰军事实体的网络钓鱼活动
乌克兰军事组织已成为网络钓鱼活动的焦点,该活动利用无人机手册来提供名为 Merlin 的基于 Go 的开源后利用工具包。
Securonix 研究人员 Den Iuzvyk、Tim Peck 和 Oleg Kolesnikov 在与《黑客新闻》分享的一份文件中报告称,由于无人机(也称为无人驾驶飞行器 (UAV))已成为乌克兰军方武器库中的重要工具,网络犯罪分子已开始传播恶意软件伪装成无人机服务手册的诱饵文件。
初始阶段有效负载隐藏在帮助文件中
该活动的名称为 STARK#VORTEX,由网络安全公司监控,以 Microsoft 编译的 HTML 帮助 (CHM) 文件开始。一旦打开此文件,它就会激活嵌入在其中一个 HTML 页面中的恶意 JavaScript,从而触发 PowerShell 代码。此 PowerShell 代码旨在与远程服务器建立联系以检索混淆的二进制文件。
解码后,基于 Windows 的有效负载会显示 Merlin 代理,然后将其配置为与命令和控制 (C2) 服务器建立通信。这使得网络犯罪分子能够控制受感染的主机并执行攻击后操作。
研究人员指出,虽然攻击链看起来相对简单,但攻击者采用了复杂的策略、技术和程序 (TTP) 以及混淆方法来逃避检测。
这标志着乌克兰政府实体首次成为使用 Merlin 工具包的目标。 2023 年 8 月上旬,乌克兰计算机紧急响应小组 (CERT-UA) 披露了一个类似的攻击链,该攻击链使用 CHM 文件作为诱饵,通过该开源工具感染计算机。 CERT-UA 将这些入侵归因于其追踪的名为 UAC-0154 的威胁行为者。
研究人员强调,该攻击链中使用的文件和文档具有绕过安全防御的能力。他们指出,虽然通过互联网接收微软帮助文件似乎不寻常,但攻击者已经将这些诱饵文档设计成类似于毫无戒心的受害者可能会在帮助主题文档或文件中遇到的内容。