俄罗斯黑客使用 Zulip 聊天应用程序在外交网络钓鱼攻击中进行隐蔽 C&C

正在进行的针对北约结盟国家外交部的活动表明俄罗斯威胁行为者的参与。

网络钓鱼攻击以带有外交诱饵的 PDF 文档为特色，其中一些伪装成来自德国，以传播名为Duke的恶意软件变种，该恶意软件被归因于APT29（又名 BlueBravo、Cloaked Ursa、Cozy Bear、Iron Hemlock、Midnight）暴雪和公爵）。

荷兰网络安全公司 EclecticIQ在上周的一份分析中表示：“威胁行为者使用 Zulip（一款开源聊天应用程序）进行命令和控制，以逃避并将其活动隐藏在合法的网络流量背后。”

感染顺序如下：名为“告别德国大使”的 PDF 附件嵌入了 JavaScript 代码，该代码启动多阶段过程，在受感染的网络上留下持久的后门。

Lab52 之前曾报告过 APT29 使用邀请主题的情况，该实验室记录了一次冒充挪威大使馆的攻击，该攻击会传递一个 DLL 有效负载，该有效负载能够联系远程服务器以获取其他有效负载。

在两个入侵集中使用域“bahamas.gov[.]bs”进一步巩固了这种联系。这些发现也证实了安恒威胁情报中心上个月发布的先前研究。

如果潜在目标通过打开 PDF 文件而陷入网络钓鱼陷阱，则会启动名为 Invitation_Farewell_DE_EMB 的恶意 HTML 植入程序来执行 JavaScript，该 JavaScript 会植入 ZIP 存档文件，该文件又会打包在旨在部署的 HTML 应用程序 (HTA) 文件中杜克恶意软件。

通过使用 Zulip 的 API 将受害者详细信息发送到攻击者控制的聊天室 (toyy.zulipchat[.]com) 以及远程征用受感染的主机，可以促进命令和控制 (C2)。

EclecticIQ 表示，它发现了第二个 PDF 文件，该文件可能被 APT29 用于侦察或测试目的。

研究人员表示：“它不包含有效负载，但会通过受感染的域 edenparkweddings[.]com 接收通知来通知攻击者是否受害者打开了电子邮件附件。”

值得注意的是，Zulip 的滥用是这个国家资助组织的一贯做法，该组织拥有利用各种合法互联网服务（例如 Google Drive、Microsoft OneDrive、Dropbox、Notion、Firebase 和 Trello）的记录。对于C2。

APT29 的主要目标是美国和欧洲的政府和政府分包商、政治组织、研究公司以及关键行业。但有趣的是，我们观察到一个未知的对手使用其策略通过 Cobalt Strike 攻击中文用户。

乌克兰计算机紧急响应小组 (CERT-UA)警告称，乌克兰国家组织遭受了一系列新的网络钓鱼攻击，这些攻击使用基于 Go 的开源后利用工具包Merlin进行。该活动的名称为 UAC-0154。

这个饱受战争蹂躏的国家还面临来自“沙虫”的持续网络攻击，沙虫是隶属于俄罗斯军事情报部门的精英黑客单位，主要目的是破坏关键行动并收集情报以获得战略优势。

根据乌克兰安全局 (SBU) 最近的一份报告，据称威胁行为者试图未经授权访问乌克兰军事人员为规划和执行战斗任务而拥有的Android 平板电脑，但未成功。

该安全机构表示：“战场上设备的捕获、详细检查以及可用访问和软件的使用成为初始访问和恶意软件分发的主要载体。”

一些恶意软件变体包括确保持久性的 NETD、建立远程访问的 DROPBEAR、从 Starlink 卫星系统收集数据的 STL、窃取数据的 DEBLIND 以及 Mirai 僵尸网络恶意软件。攻击中还使用了 TOR 隐藏服务，通过互联网访问本地网络上的设备。

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/7769.html