与俄罗斯有关的APT28黑客组织与多个正在进行的网络钓鱼活动有关,这些活动使用模仿欧洲、南高加索、中亚以及北美和南美政府和非政府组织 (NGO) 的诱饵文件。
研究人员表示:“发现的诱饵包括内部和公开可用的文件,以及可能由参与者生成的与金融、关键基础设施、高管参与、网络安全、海事安全、医疗保健、商业和国防工业生产相关的文件。”IBMX-Force研究人员在上周发布的一份报告中写道。
IBM X-Force正在追踪名为ITG05的活动,该组织别名包括:Blue Athena、BlueDelta、Fancy Bear、Fighting Ursa、Forest Blizzard(以前称为 Strontium)、FROZENLAKE、Iron Twilight、Pawn Storm、Sednit、Sofacy、TA422 和UAC-028。
ITG05 是一个有俄罗斯官方背景的黑客组织,由多个活动集群组成,与 APT28、UAC-028、Fancy Bear 和 Forest Blizzard 的活动重叠。
该报告是在发现使用以色列-哈马斯战争相关的诱饵来提供名为HeadLace的定制后门三个多月后发布的。
APT28 还向乌克兰政府实体和波兰组织发送网络钓鱼消息,这些消息旨在部署定制植入程序和信息窃取程序,例如MASEPIE、OCEANMAP 和 STEELHOOK。
其他活动需要利用Microsoft Outlook 中的安全漏洞( CVE-2023-23397,CVSS 评分:9.8)来获取 NT LAN Manager (NTLM) v2 哈希值,从而增加了攻击者可能利用其他漏洞窃取 NTLMv2 哈希值的可能性用于中继攻击。
ITG05 活动的感染链示例
IBM X-Force 在 2023 年 11 月下旬至 2024 年 2 月期间观察到的最新活动中,攻击者利用Microsoft Windows 中的“search-ms:”URI 协议处理程序来诱骗受害者下载托管在攻击者控制的 WebDAV 服务器上的恶意软件。
有证据表明,WebDAV 服务器以及 MASEPIE C2 服务器可能托管在受感染的 Ubiquiti 路由器上,该路由器是一个僵尸网络,上个月已被美国政府捣毁。
网络钓鱼攻击冒充来自阿根廷、乌克兰、格鲁吉亚、白俄罗斯、哈萨克斯坦、波兰、亚美尼亚、阿塞拜疆和美国等多个国家的实体,利用真实的公开政府和非政府诱饵文件来激活感染链。
安全研究人员 Joe Fasulo、Claire Zaboeva 和 Golo Mühr 表示:“在对其方法的更新中,ITG05 正在利用免费的托管提供商 firstcloudit[.]com 来暂存有效负载,以实现持续的操作。”
APT28 精心策划的计划以 MASEPIE、OCEANMAP 和 STEELHOOK 的执行而告终,这些软件旨在窃取文件、运行任意命令和窃取浏览器数据。OCEANMAP 被认为是 CredoMap 的功能更强大的版本,CredoMap 是该组织先前确定使用的另一个后门。
研究人员总结道:“ITG05 通过提供新的感染方法和利用商用基础设施,同时不断发展恶意软件功能,始终能够适应机会的变化。”
转自会杀毒的单反狗,原文链接:https://mp.weixin.qq.com/s/ewzUZU83mFfvp407SbJuzQ
暂无评论内容