HackerNews 编译,转载请注明出处:
网络安全研究人员发现了一场神秘的针对性钓鱼攻击活动。该活动冒充乌克兰总统办公室,且在发起当天便宣告终止,其目的是入侵参与战争救援工作的相关机构。
根据网络安全公司 SentinelLabs 周三发布的报告,10 月 8 日开展的这场单日攻击活动,目标群体包括国际红十字会、挪威难民委员会、联合国儿童基金会的工作人员,以及其他参与战争救援的非政府组织人员。
SentinelLabs 表示,目前尚不清楚这场被标记为PhantomCaptcha的攻击活动背后主使是谁,但从目标清单可推测,攻击者试图 “获取与乌克兰援助相关的人道主义行动、重建规划及国际协调工作等方面的情报”。
SentinelOne 研究负责人汤姆・黑格尔在报告中写道,从最初的基础设施注册到攻击实施当天,这场针对性钓鱼攻击经过了六个月的准备。但攻击活动仅持续一天,相关基础设施便下线,“这表明攻击者具备精密的规划能力和对操作安全的高度重视”。
攻击手段与方式
黑客还向乌克兰顿涅茨克、第聂伯罗彼得罗夫斯克、波尔塔瓦和尼古拉耶夫斯克地区的政府机构发起攻击。
他们发送了一份伪装成乌克兰总统办公室官方文件的八页PDF文档,内含恶意程序。意图引导受害者陷入一套复杂的多阶段攻击链,以此获取受害者信任并绕过传统安全防护措施。
若受害者点击 PDF 中的嵌入链接,可能会被重定向至一个伪装成视频会议应用 Zoom 官方网站的域名,而该域名实际由俄罗斯服务商 KVMKA 掌控。
尽管攻击发起当天该服务器便无法解析,但 SentinelLabs 通过 VirusTotal 数据库获取了服务器响应数据,发现其是一个伪装成 Cloudflare 分布式拒绝服务(DDoS)防护网关的虚假页面。
这为入侵受害者设备提供了两种可能的途径。
一种是将受害者重定向至真实的密码保护 Zoom 会议,黑格尔写道,这可能便于黑客与受害者进行实时社会工程学诈骗通话。
另一种则是诱导受害者不慎执行复制到剪贴板的命令,研究人员将后一种手段称为ClickFix或 Paste and Run技术。
SentinelLabs 称,PhantomCaptcha攻击的变种手段会欺骗 Windows 用户,让其从虚假的 Cloudflare DDoS 防护网关复制 “令牌”,随后按下 “Windows + R” 组合键,粘贴 “令牌” 并执行命令 —— 而该命令实际是一段旨在入侵用户电脑的 PowerShell 脚本。
攻击者能力评估
研究人员表示:“这种社会工程学攻击手段极具效力,因为恶意代码是由用户自行执行的,能够避开那些仅专注于检测恶意文件的终端安全防护系统。”
尽管黑客很快关闭了面向公众的诱骗域名,但 SentinelLabs 发现,后台命令与控制基础设施在初始攻击日之后仍处于活跃状态,“这表明基础设施具备高度隔离性,且需要维护部分基础设施以控制已入侵的系统”。
研究人员发现,在攻击次日(10 月 9 日),一个与公众诱骗域名 URL 相似的新域名完成注册,“这可能意味着攻击者计划继续开展攻击活动”。
他们的基础设施分析还发现,该攻击与另一范围更广的攻击活动存在关联。后者 “利用成人社交与娱乐内容作为诱饵,且可能与俄罗斯 / 白俄罗斯的技术开发源头有关”,不过该攻击活动被列为单独的行动集群进行追踪。
具体而言,后一攻击活动的主题与报告中提及的 “乌克兰利沃夫市一家名为‘公主男士俱乐部’(Princess Men’s Club)的成人娱乐场所” 相关,包含一个网站和一个安卓应用安装包,旨在从受入侵设备中窃取各类个人信息与设备数据。
SentinelLabs 补充称,PhantomCaptcha攻击活动的时间线显示,攻击者 “既了解进攻性操作,也熟悉防御性检测能力”。不过该公司在发布报告时表示,暂无法将这一行动集群归属于某一已知黑客组织。
该公司表示,此次攻击活动的精密程度 “表明攻击者具备高水平的操作规划能力,从长期准备、基础设施隔离到刻意控制曝光度等方面均能体现这一点”。
消息来源:therecord.media;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
