HackerNews 编译，转载请注明出处： 研究人员披露一起与俄罗斯关联的钓鱼攻击活动，使用两款全新恶意软件家族 BadPaw 和 MeowMeow 针对乌克兰组织。攻击链以携带 ZIP 压缩包链接的钓鱼邮件开始。打开后，一个 HTA 文件会显示一份乌克兰语的边境过境申请诱饵文档，同时在后台秘密启动感染链。 ClearSky 的报告写道：“攻击链始于一封包含 ZIP 压缩包链接的钓鱼邮件。解压后，初始 HTA 文件会显示一份用乌克兰语撰写的关于边境过境申请的诱饵文档，以欺骗受害者。与此同时，感染程序会下载基于.NET 的加载器 BadPaw。在建立 C2 通信后，该加载器会投放功能复杂的后门 MeowMeow。” 研究人员发现，这两款恶意软件均使用.NET Reactor 加壳工具增加分析与逆向难度，表明攻击者意图规避检测并实现长期驻留。 报告继续写道：“BadPaw 采用的另一层防护是使用.NET Reactor，这是一款用于.NET 程序集的商用保护与混淆工具。该加壳工具对底层代码进行混淆，阻碍静态分析与逆向工程。” 该恶意软件还包含多重防御机制。其组件仅在使用特定参数启动时才会激活，否则显示正常界面并执行无害代码。 MeowMeow 后门增加环境检测，扫描系统是否为虚拟机，以及是否存在 Wireshark、ProcMon、Fiddler 等分析工具。若检测到沙箱或研究环境，会立即停止运行以避免被分析。 ClearSky 研究人员高置信度将此次活动归为与俄罗斯相关的网络间谍组织，较低置信度归为 APT28。评估依据三点：针对乌克兰机构、代码中存在俄语痕迹、战术与俄罗斯过往网络行动一致（包括多阶段感染链、.NET 加载器）。 与此同时，攻击链会投放名为 BadPaw 的.NET 加载器，该加载器与远程服务器建立通信，获取并投放高级后门 MeowMeow。 该活动中置信度归为俄罗斯国家级威胁组织 APT28，依据是目标范围、诱饵的地缘政治属性，以及与俄罗斯过往网络行动的技术重合点。 ClearSky 的研究详细描述了多阶段感染链，该感染链始于通过乌克兰服务商 ukr [.] net 发送的钓鱼邮件，该服务商曾在俄罗斯的攻击活动中被滥用。邮件包含一个链接，首先加载追踪像素，受害者点击时通知攻击者，随后跳转到短链接，下载 ZIP 压缩包。 压缩包内是伪装成 HTML 文档的 HTA 文件。执行时会打开关于乌克兰边境过境申请的诱饵文档，同时静默启动恶意流程。该 HTA 通过检查系统安装日期进行反分析，若为新近安装系统则终止运行，这是常见的沙箱规避手段。 报告继续写道：“释放的诱饵文档属于社会工程手段，显示为乌克兰边境过境政府申请的回执确认。该诱饵用于维持合法外观，而 HTA 文件在后台执行后续阶段。” “为规避检测并识别潜在沙箱环境，HTA 文件通过检查以下注册表项进行环境判断：HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\InstallDate 通过查询该值，恶意软件计算操作系统 “年龄”。若系统安装时间距运行不足 10 天，恶意软件直接退出。这是一种常见反分析技术，用于避免在新建虚拟机或自动化分析沙箱中运行。” 若条件满足，会查找原始压缩包，释放额外组件，并通过计划任务实现持久化。随后 VBS 脚本通过隐写术从图片中提取隐藏的载荷数据，释放出 PE 文件，研究人员确认为 BadPaw 加载器，该加载器最终投放 MeowMeow 后门并建立 C2 通信。 研究人员在恶意软件代码中发现俄语字符串，其中包括表示达到运行状态所需时间的内容。这些痕迹表明来源为俄罗斯，可能是操作安全（OPSEC）失误，或未针对乌克兰目标移除开发残留内容。 报告总结道：“这些俄语字符串的存在表明两种可能：威胁组织犯了操作安全错误，未针对乌克兰目标环境做代码本地化；或是在恶意软件制作阶段无意中留下了俄语开发痕迹。”   消息来源：securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

安全内参12月27日消息，一场被认为由俄罗斯黑客发起的大规模网络攻击，导致乌克兰多个国家登记册下线，公民无法获取与其数字记录相关的基本服务。 根据乌克兰司法部的消息，此次网络攻击中断了出生、婚姻及死亡等登记服务。该部门负责管理乌克兰约60个国家数据库。 目前，这些记录正通过纸质方式临时处理。一旦恢复对国家登记册的访问，所有数据将重新转移至电子数据库。 尽管服务受限，司法部表示，上周仍有超过1400对乌克兰夫妇完成了婚姻登记。 众多民众基本服务全面中断 所有涉及房地产的交易，包括买卖协议、租赁合同、赠与协议和抵押合同，也因这次事件全面暂停。此类交易需依赖国家登记册中的公民个人数据，以及法人和财产权信息。 乌克兰负责欧洲和欧亚一体化事务的副总理Olga Stefanishyna透露，恢复这些登记册的访问预计需要约2周时间。 作为应对措施，乌克兰政府已将现有的军事征召延期自动延长1个月，无需数字续签。根据现行法律，特定类别的乌克兰公民可通过依赖国家登记册数据的“Reserve+”军事应用申请延期。 据当地媒体报道，此次攻击还影响了乌克兰股票交易所的交易、官员和法官的任命，以及一些依赖登记册信息的法院案件审理。 目前尚不清楚此次网络攻击对登记册及基本服务中断造成的经济损失规模。 乌克兰司法部于12月23日宣布，已启动恢复工作，并保证所有数据都会被恢复，因为政府掌握了完整的备份。 “精心策划”的攻击 亲俄黑客组织 XakNet 声称对此次攻击负责，并表示已删除存储在波兰服务器上的主数据库及备份副本。 此前2023年12月，乌克兰国防情报局声称入侵了俄罗斯联邦税务局，并抹去了该机构2300多个数据库。 乌克兰政府官员对攻击细节披露有限，且因“问题的敏感性”拒绝向媒体发表评论。 乌克兰议会网络安全分委员会主席Oleksandr Fedienko表示，黑客可能通过网络钓鱼邮件或贿赂一名拥有登记册访问权限的员工进入系统。目前参与调查的乌克兰网络安全机构尚未公开评论攻击者的具体入侵手段。 乌克兰国家安全局上周指出，他们怀疑此次攻击幕后黑手是与俄罗斯军事情报局（GRU）相关的黑客。与 GRU 疑似相关的威胁组织之一是“沙虫”（Sandworm）。该组织曾对乌克兰发动重大网络攻击，包括2023年针对乌克兰最大电信运营商基辅之星（Kyivstar）的袭击。 Fedienko指出，此次针对国家登记册的攻击是“精心策划”的，只有通过“严密而系统化的组织”才能实现。 乌克兰国家安全局网络安全部门代理负责人Volodymyr Karastelov表示，黑客可能花费数月时间筹备此次针对国家登记册的攻击。   转自安全内参，原文链接：https://www.secrss.com/articles/74077 封面来源于网络，如有侵权请联系删除

俄乌冲突进入第 3 周，一些非常规行为者继续针对俄罗斯国家支持的企业发起攻击，进行一连串的黑客攻击和数据泄露。而由俄罗斯国家控制的石油管道巨头 Transneft 无疑成为了重点攻击对象。 本周四，泄密托管网站 Distributed Denial of Secrets 发布了一个 79GB 的电子邮件链接，这些电子邮件来自 Transneft 的研发部门 Omega 公司。 Transneft的总部设在莫斯科，是世界上最大的管道公司。作为一家俄罗斯国有企业，根据对俄罗斯的制裁条款，它现在被阻止接受来自美国市场的投资。 它的内部研发单位 Omega 公司生产一系列用于石油管道的高科技声学和温度监测系统，具有讽刺意味的是，这些系统主要用于泄漏检测。 泄露的电子邮件似乎包含了公司员工的多个电子邮件账户的内容，不仅包括电子邮件信息，还包括包含发票和产品发货细节的文件附件，以及显示服务器机架和其他设备配置的图像文件。 不寻常的是，根据分布式拒绝秘密组织随同电子邮件上传的一份说明，消息来源将泄漏的数据献给希拉里·克林顿。在 2 月份接受 MSNBC 采访时，克林顿采取了非常规的措施，鼓励 Anonymous 对俄罗斯发动网络攻击。克林顿说：“热爱自由的人，了解我们的生活方式取决于支持那些也相信自由的人，可以参与对俄罗斯街头的人进行网络支持”。   转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1248347.htm 封面来源于网络，如有侵权请联系删除