針對烏克蘭國防實體的後門惡意軟件

已發現一種基於 .NET 的新後門，名為 DeliveryCheck（也稱為 CAPIBAR 或 GAMEDAY），專門針對烏克蘭和東歐的國防部門。這個複雜的後門能夠傳遞後續的有效負載。

這些攻擊被歸咎於俄羅斯民族國家演員圖拉（Turla），該演員有不同的名字，如鋼鐵獵人（Iron Hunter）、秘密暴雪（Secret Blizzard）（以前稱為氪星（Krypton））、奧羅布洛斯（Uroburos）、毒熊（Venomous Bear）和水蟲（Waterbug）。據了解，Turla 與俄羅斯聯邦安全局 (FSB) 有聯繫。攻擊媒介涉及通過電子郵件分發 DeliveryCheck，利用包含惡意宏的文檔。一旦滲透，DeliveryCheck 就會通過計劃任務持續存在，該任務會下載並在內存中執行它。此外，它還與命令和控制 (C2) 服務器通信以檢索任務，包括啟動嵌入 XSLT 樣式表中的任意有效負載。

初始攻擊使用 Kazuar 植入物

在某些情況下，初始訪問伴隨著名為 Kazuar 的已知 Turla 植入物的分發。該植入程序能夠從網絡瀏覽器竊取應用程序配置文件、事件日誌和各種數據。這些攻擊的主要目標是從 Windows 上的 Signal 消息應用程序中竊取消息，使攻擊者能夠訪問目標系統上的敏感對話、文檔和圖像。

DeliveryCheck 的一個重要方面是它能夠通過使用 PowerShell Desired State Configuration (DSC)（一個促進 Windows 系統自動配置的平台）安裝服務器端組件來危害 Microsoft Exchange 服務器。這允許 DSC 生成包含 PowerShell 腳本的託管對象格式 (MOF) 文件，該腳本將嵌入式 .NET 負載加載到內存中，從而有效地將合法服務器轉變為惡意 C2 中心。

烏克蘭摧毀了宣傳機器人農場

與此同時，烏克蘭網絡警察成功摧毀了一個大型機器人農場，涉及 100 多人散佈敵意宣傳，為俄羅斯入侵辯護。該組織還參與洩露烏克蘭公民的個人信息並執行各種欺詐計劃。作為此次行動的一部分，我們在 21 個地點進行了搜查，查獲了屬於不同移動運營商的計算機設備、手機、250 多個 GSM 網關以及約 150,000 張 SIM 卡。