疑似俄罗斯相关间谍活动借星链和慈善诱饵瞄准乌克兰
- 浏览次数 532
- 喜欢 0
HackerNews 编译,转载请注明出处:
研究人员发现,一个相对较新的疑似与俄罗斯有关的黑客组织发起了一场网络间谍活动,他们将间谍软件伪装在有关星链卫星互联网终端和一家知名乌克兰慈善机构的文件中,目标直指乌克兰的各类组织。
据网络安全公司 Lab52 的一份报告显示,这场在 2 月被监测到的活动,部署了一款名为 DrillApp 的后门程序。借助该程序,攻击者能够从受感染的计算机上传和下载文件,通过麦克风录制音频,并利用网络摄像头抓拍图像。
研究人员将这场活动归咎于疑似与俄罗斯有关的黑客组织 “洗衣熊”(Laundry Bear),该组织也被追踪代号为 “虚空暴雪”(Void Blizzard)。至少从 2024 年起,该组织就十分活跃,此前曾将北约成员国和乌克兰机构列为攻击目标。
乌克兰计算机应急响应小组 CERT-UA 今年早些时候曾报告过该组织针对乌克兰武装部队的另一项行动。研究人员表示,这些行动都采用了类似的手段,包括以慈善为主题的诱饵,以及在公共文本分享服务平台上托管恶意组件。
在最近的这次行动中,攻击者使用了冒充乌克兰支持武装部队的慈善组织 “重生”(Come Back Alive)的请求文件,以及与星链卫星互联网终端验证相关的图片。2 月初,在乌克兰当局确认俄罗斯军队已开始在攻击无人机上安装星链技术后,乌克兰推出了针对星链终端的验证系统。
一旦恶意文件被打开,它就会通过微软 Edge 浏览器执行,使攻击者能够访问受害者的文件系统,并从麦克风获取音频、从摄像头获取视频以及录制设备屏幕画面。
研究人员称,攻击者可能选择通过网络浏览器来传播恶意软件,因为浏览器通常能够合法访问摄像头、麦克风和屏幕录制等敏感设备功能,这使得恶意活动更难被察觉。而且安全工具也很少将浏览器标记为可疑对象。
Lab52 表示,该间谍软件似乎仍处于早期开发阶段,这表明攻击者可能正在尝试新的方法来规避防御措施。研究人员识别出此次活动中使用的恶意软件有两个版本,主要区别在于诱骗受害者的诱饵不同。
“洗衣熊” 此前被描述为使用 “相对简单但难以察觉的技术”。该组织主要专注于网络间谍活动。微软此前曾报告称,该组织已成功渗透乌克兰多个行业的机构,包括教育、交通和国防领域。
安全研究人员还注意到,“洗衣熊” 的策略与俄罗斯军事情报威胁组织 APT28(也被称为 “奇幻熊”,Fancy Bear)的策略存在重叠之处,不过分析人士通常认为它们是不同的组织。
消息来源:therecord.media;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文