針對烏克蘭軍事實體的網路釣魚活動
烏克蘭軍事組織已成為網路釣魚活動的焦點,該活動利用無人機手冊來提供名為 Merlin 的基於 Go 的開源後利用工具包。
Securonix 研究人員Den Iuzvyk、Tim Peck 和Oleg Kolesnikov 在與《駭客新聞》分享的一份文件中報告稱,由於無人機(也稱為無人駕駛飛行器(UAV))已成為烏克蘭軍方武器庫中的重要工具,網路犯罪分子已開始傳播惡意軟體偽裝成無人機服務手冊的誘餌檔案。
初始階段有效負載隱藏在說明文件中
活動的名稱為 STARK#VORTEX,由網路安全公司監控,以 Microsoft 編譯的 HTML 幫助 (CHM) 檔案開始。一旦開啟此文件,它就會啟動嵌入在其中一個 HTML 頁面中的惡意 JavaScript,從而觸發 PowerShell 程式碼。此 PowerShell 程式碼旨在與遠端伺服器建立聯繫以擷取混淆的二進位檔案。
解碼後,基於 Windows 的有效負載會顯示 Merlin 代理,然後將其配置為與命令和控制 (C2) 伺服器建立通訊。這使得網路犯罪分子能夠控制受感染的主機並執行攻擊後操作。
研究人員指出,雖然攻擊鏈看起來相對簡單,但攻擊者採用了複雜的策略、技術和程序 (TTP) 以及混淆方法來逃避偵測。
這標誌著烏克蘭政府實體首次成為使用 Merlin 工具包的目標。 2023 年 8 月初,烏克蘭電腦緊急應變小組 (CERT-UA) 揭露了一個類似的攻擊鏈,該攻擊鏈使用 CHM 檔案作為誘餌,透過該開源工具感染電腦。 CERT-UA 將這些入侵歸因於其追蹤的名為 UAC-0154 的威脅行為者。
研究人員強調,該攻擊鏈中使用的文件和文件具有繞過安全防禦的能力。他們指出,雖然透過網路接收微軟幫助文件似乎不尋常,但攻擊者已經將這些誘餌文件設計成類似於毫無戒心的受害者可能會在幫助主題文件或文件中遇到的內容。