FireEye威胁情报部门的研究小组发现了恶意攻击,并继续对2018年开始的乌克兰政府目标进行攻击,其后面的黑客组织似乎与所谓的卢甘斯克人民共和国(LPR)有关。
RATVERMIN使用Powershell脚本删除
正如FireEye Threat Intelligence在分析其攻击期间使用的恶意软件的编译时间后发现的那样,该组似乎至少自2014年以来一直处于活跃状态,其攻击主要是“主要针对乌克兰实体”。
此外,“2018年的活动使用独立的EXE或自解压RAR(SFX)文件来感染受害者。然而,他们最近的活动通过利用恶意LNK文件显示出更高的复杂性,”研究人员说。“该小组使用了开源QUASARRAT和RATVERMIN恶意软件,我们还没有看到任何其他组织使用它。”
作为鱼叉式网络钓鱼攻击的一部分,黑客发送的电子邮件看起来像是由一家名为Armtrac的英国国防制造商提供的。
[p]
[p]鱼叉式网络钓鱼电子邮件和伪装的LNK文件[/p][/p]
多个诱饵文件附加到网络钓鱼电子邮件,这些邮件旨在欺骗目标运行Powershell dropper脚本,伪装成带有PDF扩展名和Microsoft Word文档图标的LNK文件。
[p]鱼叉式网络钓鱼电子邮件和伪装的LNK文件[/p][/p]从官方网站Armtrac源自其他两份文件[ 1,2 ]旨在进一步获得被装在一个ZIP压缩文件的潜在受害者的信任,再次被压缩为一个名为Armtrac-Commercial.7z一个7Z压缩包,并连接到网络钓鱼电子邮件。
至少自2018年1月以来一直用于攻击的后门
RATVERMIN .NET后门是Palo Alto Networks的Unit 42于2018年1月发现的一种远程访问工具(RAT),它收集并泄露受害者的系统信息并“收集所有击键和剪贴板数据并在存储之前加密数据”键盘记录器的帮助。
与所有其他后门一样,RATVERMIN还允许其主人在受感染系统上运行各种命令,包括启动和终止进程以及捕获音频/屏幕截图,以及更新恶意软件和删除文件。
“虽然需要更多证据来确定归属,但这项活动展示了有能力的网络间谍能力,甚至是次国家行为者的可及性,”报告说。
此外,“虽然这个特定群体主要是对乌克兰的威胁,但对乌克兰的新生威胁以前已成为国际关注的问题并受到监控。”
本文标题:黑客集团利用RATVERMIN后门攻击乌克兰军队
本文作者:小皮
本文来自:蚁安黑客官网
转载请注明本文链接:http://www.mayidui.net/t3007.html
