俄罗斯 APT28 黑客组织针对欧洲、美洲和亚洲开展广泛的网络钓鱼计划

与俄罗斯有关的APT28黑客组织与多个正在进行的网络钓鱼活动有关,这些活动使用模仿欧洲、南高加索、中亚以及北美和南美政府和非政府组织 (NGO) 的诱饵文件。

微信图片_20240319094940

研究人员表示:“发现的诱饵包括内部和公开可用的文件,以及可能由参与者生成的与金融、关键基础设施、高管参与、网络安全、海事安全、医疗保健、商业和国防工业生产相关的文件。”IBMX-Force研究人员在上周发布的一份报告中写道。

IBM X-Force正在追踪名为ITG05的活动,该组织别名包括:Blue Athena、BlueDelta、Fancy Bear、Fighting Ursa、Forest Blizzard(以前称为 Strontium)、FROZENLAKE、Iron Twilight、Pawn Storm、Sednit、Sofacy、TA422 和UAC-028。

ITG05 是一个有俄罗斯官方背景的黑客组织,由多个活动集群组成,与 APT28、UAC-028、Fancy Bear 和 Forest Blizzard 的活动重叠。

该报告是在发现使用以色列-哈马斯战争相关的诱饵来提供名为HeadLace的定制后门三个多月后发布的。

APT28 还向乌克兰政府实体和波兰组织发送网络钓鱼消息,这些消息旨在部署定制植入程序和信息窃取程序,例如MASEPIE、OCEANMAP 和 STEELHOOK。

其他活动需要利用Microsoft Outlook 中的安全漏洞( CVE-2023-23397,CVSS 评分:9.8)来获取 NT LAN Manager (NTLM) v2 哈希值,从而增加了攻击者可能利用其他漏洞窃取 NTLMv2 哈希值的可能性用于中继攻击。

微信图片_20240319095030

ITG05 活动的感染链示例

微信图片_20240319095107

IBM X-Force 在 2023 年 11 月下旬至 2024 年 2 月期间观察到的最新活动中,攻击者利用Microsoft Windows 中的“search-ms:”URI 协议处理程序来诱骗受害者下载托管在攻击者控制的 WebDAV 服务器上的恶意软件。

有证据表明,WebDAV 服务器以及 MASEPIE C2 服务器可能托管在受感染的 Ubiquiti 路由器上,该路由器是一个僵尸网络,上个月已被美国政府捣毁。

网络钓鱼攻击冒充来自阿根廷、乌克兰、格鲁吉亚、白俄罗斯、哈萨克斯坦、波兰、亚美尼亚、阿塞拜疆和美国等多个国家的实体,利用真实的公开政府和非政府诱饵文件来激活感染链。

安全研究人员 Joe Fasulo、Claire Zaboeva 和 Golo Mühr 表示:“在对其方法的更新中,ITG05 正在利用免费的托管提供商 firstcloudit[.]com 来暂存有效负载,以实现持续的操作。”

APT28 精心策划的计划以 MASEPIE、OCEANMAP 和 STEELHOOK 的执行而告终,这些软件旨在窃取文件、运行任意命令和窃取浏览器数据。OCEANMAP 被认为是 CredoMap 的功能更强大的版本,CredoMap 是该组织先前确定使用的另一个后门。

研究人员总结道:“ITG05 通过提供新的感染方法和利用商用基础设施,同时不断发展恶意软件功能,始终能够适应机会的变化。”


转自会杀毒的单反狗,原文链接:https://mp.weixin.qq.com/s/ewzUZU83mFfvp407SbJuzQ

© 版权声明
THE END
你的支持是我们在网空安全路上的驱动力!
点赞10 分享
Suffer all the pain can destroy a person, but it also can kill the pain.
一切痛苦能够毁灭人,然而受苦的人也能把痛苦消灭
评论 抢沙发
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称表情代码快捷回复

    暂无评论内容