一个名为Head Mare 的黑客组织涉嫌发动网络攻击,攻击对象主要是俄罗斯和白俄罗斯目标。
卡巴斯基在周一对该组织的策略和工具的分析中表示:“Head Mare 使用更为先进的方法来获取初始访问权限。例如,攻击者利用了 WinRAR 中相对较新的CVE-2023-38831漏洞,该漏洞允许攻击者通过特制的存档在系统上执行任意代码。这种方法使该组织能够更有效地传递和伪装恶意负载。”
Head Mare 自 2023 年起活跃,是一年前开始的俄乌冲突背景下攻击俄罗斯组织的黑客组织之一。
它还在 X 上存在,并在那里泄露受害者的敏感信息和内部文件。该组织的攻击目标包括政府、交通、能源、制造业和环境部门。
与其他可能以对两国公司造成“最大程度损害”为目标的黑客活动分子不同,Head Mare 还使用 LockBit (Windows版本)和 Babuk (Linux版本)加密受害者的设备,并索要解密赎金。
其工具包还包括PhantomDL 和 PhantomCore,前者是一个基于 Go 的后门,能够提供额外的有效载荷并将感兴趣的文件上传到命令和控制 (C2) 服务器。
PhantomCore(又名 PhantomRAT)是 PhantomDL 的前身,是一种具有类似功能的远程访问木马,允许从 C2 服务器下载文件、将文件从受感染主机上传到 C2 服务器,以及在 cmd.exe 命令行解释器中执行命令。
“攻击者创建名为 MicrosoftUpdateCore 和 MicrosoftUpdateCoree 的计划任务和注册表值,将其活动伪装成与微软软件相关的任务。”卡巴斯基表示,“我们还发现该组织使用的某些 LockBit 样本具有以下名称:OneDrive.exe [和] VLC.exe。这些样本位于 C:\ProgramData 目录中,伪装成合法的 OneDrive 和 VLC 应用程序。”
我们发现,这两种文件都是通过网络钓鱼活动以具有双扩展名的商业文档的形式进行分发的(例如,решение №201-5_10вэ_001-24 к пив экран-сои-2.pdf.exe 或 тз на разработку.pdf.exe)。
其攻击武器库的另一个关键组成部分是Sliver,这是一个开源 C2 框架,以及各种公开可用的工具的集合,例如 rsockstun、ngrok 和 Mimikatz,用于促进发现、横向移动和凭证收集。
入侵最终会根据目标环境部署 LockBit 或 Babuk,然后留下一封勒索信,要求用户付款以换取解密器来解锁文件。
这家俄罗斯网络安全供应商表示:“Head Mare 组织所使用的策略、方法、程序和工具与俄乌冲突背景下针对俄罗斯和白俄罗斯目标进行攻击的其他组织类似。该组织的特点是使用 PhantomDL 和 PhantomCore 等定制恶意软件,以及利用相对较新的漏洞 CVE-2023-38831,在网络钓鱼活动中渗透到受害者的基础设施中。”
转自军哥网络安全读报
暂无评论内容