YoroTrooper APT组织以独联体国家和大使馆为目标
专家警告说,一个名为YoroTrooper的新APT组织一直以欧洲各地的政府和能源组织为目标。
思科Talos研究人员发现了一个新的网络间谍组织,该组织至少从2022年6月开始就针对独联体国家、大使馆和欧盟医疗保健机构。
APT 小组专注于阿塞拜疆、塔吉克斯坦、吉尔吉斯斯坦和其他独立国家联合体 (CIS) 的政府或能源组织。专家们报告说,该组织入侵了至少两个国际组织的账户,一个重要的欧盟医疗保健机构和世界知识产权组织 (WIPO)。Talos报告称,威胁行为者还可能将欧洲的其他组织和土耳其 (Türkiye) 政府机构作为目标。
威胁行为者窃取的数据包括来自多个应用程序的凭据、浏览器历史记录和cookie、系统信息和屏幕截图。
YoroTrooper的武器库包括基于Python的、定制的和开源的信息窃取程序,例如通过Nuitka 框架和PyInstaller包装到可执行文件中的Stink 窃取程序。该组织还在其活动中使用商品恶意软件,例如AveMaria/Warzone RAT、LodaRAT和Meterpreter。
攻击向量是带有附件存档的网络钓鱼电子邮件,其中包含两个文件、一个快捷方式文件和一个诱饵PDF文件。

恶意LNK文件充当下载器,使用mshta.exe在受感染端点上下载和执行远程HTA文件。
“此次攻击活动中使用的恶意 HTA 文件稳步发展,最新变体下载下一阶段的有效负载:基于恶意EXE的植入程序和诱饵文件。所有这些任务都是通过运行基于PowerShell的命令来完成的。” 塔洛斯继续说道。

Talos指出,PoetRAT和YoroTrooper组织在他们的TTP和受害者学方面有一些相似之处。
专家收集的一些证据表明威胁行为者是说俄语的,例如攻击者使用的恶意软件源代码中存在俄语电报和西里尔文片段。
“在此活动中,YoroTrooper一直在将新的恶意软件引入其感染链,包括定制恶意软件和商品恶意软件。值得注意的是,虽然该活动始于AveMaria和LodaRAT等商品恶意软件的分发,但它已经发生了重大变化,包括基于Python的恶意软件。” 总结报告,其中还包括威胁指标 (IoC)。“这凸显了威胁行为者付出的努力有所增加,这可能源于活动期间的成功入侵。”
本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处: https://blog.wuhao13.xin/4971.html