YoroTrooper APT组织以独联体国家和大使馆为目标

专家警告说，一个名为YoroTrooper的新APT组织一直以欧洲各地的政府和能源组织为目标。

思科Talos研究人员发现了一个新的网络间谍组织，该组织至少从2022年6月开始就针对独联体国家、大使馆和欧盟医疗保健机构。

APT 小组专注于阿塞拜疆、塔吉克斯坦、吉尔吉斯斯坦和其他独立国家联合体 (CIS) 的政府或能源组织。专家们报告说，该组织入侵了至少两个国际组织的账户，一个重要的欧盟医疗保健机构和世界知识产权组织 (WIPO)。Talos报告称，威胁行为者还可能将欧洲的其他组织和土耳其 (Türkiye) 政府机构作为目标。

威胁行为者窃取的数据包括来自多个应用程序的凭据、浏览器历史记录和cookie、系统信息和屏幕截图。

YoroTrooper的武器库包括基于Python的、定制的和开源的信息窃取程序，例如通过Nuitka 框架和PyInstaller包装到可执行文件中的Stink 窃取程序。该组织还在其活动中使用商品恶意软件，例如AveMaria/Warzone RAT、LodaRAT和Meterpreter。

攻击向量是带有附件存档的网络钓鱼电子邮件，其中包含两个文件、一个快捷方式文件和一个诱饵PDF文件。

恶意LNK文件充当下载器，使用mshta.exe在受感染端点上下载和执行远程HTA文件。

“此次攻击活动中使用的恶意 HTA 文件稳步发展，最新变体下载下一阶段的有效负载：基于恶意EXE的植入程序和诱饵文件。所有这些任务都是通过运行基于PowerShell的命令来完成的。” 塔洛斯继续说道。

Talos指出，PoetRAT和YoroTrooper组织在他们的TTP和受害者学方面有一些相似之处。

专家收集的一些证据表明威胁行为者是说俄语的，例如攻击者使用的恶意软件源代码中存在俄语电报和西里尔文片段。

“在此活动中，YoroTrooper一直在将新的恶意软件引入其感染链，包括定制恶意软件和商品恶意软件。值得注意的是，虽然该活动始于AveMaria和LodaRAT等商品恶意软件的分发，但它已经发生了重大变化，包括基于Python的恶意软件。” 总结报告，其中还包括威胁指标 (IoC)。“这凸显了威胁行为者付出的努力有所增加，这可能源于活动期间的成功入侵。”

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/4971.html