ESET 公司的研究人员指出,攻击者利用三个不同的远程访问木马 (RAT) 监控乌克兰。

主要攻击政府机构

这些攻击显然始于2015年年末,但相关研究报告在2018年1月才发布。ESET 公司表示自从2017年中期就一直在追踪该攻击活动。攻击对象主要是政府机构,受害者达到数百人。

这次网络监控活动幕后的攻击者一直使用多个隐秘的 RAT 渗透敏感文档。这些 RAT 是 Quasar RAT、Sobaken RAT 和一个自定义 RAT 即 Vermin。

攻击者似乎缺乏高阶技能和访问 0day 漏洞的能力,他们使用邮件和社工传播恶意软件。某些包含 Word 文档的邮件试图利用于2017年4月修复的漏洞 CVE-2017-0199。

攻击者通常利用病毒释放器将最后的 payload(伪装成 Adobe、英特尔或微软的软件)传播至 %APPDATA% 文件夹并通过每隔10分钟执行的预定任务实现可持久性。Steganography 也被用于诱骗内容过滤。

为避免自动化分析系统和沙箱,恶意软件会检查系统是否安装了俄语或乌克兰语的键盘配置,如果未发现则会自我终止。它还检查系统的 IP 地址和机器上的用户名。另外,它还检查和随机生成的网站名称/URL 连接是否失败以确定是否是真正的系统。

三个远程 RAT

攻击者至少从2015年10月末开始就从 GitHub 上免费下载并使用了 Quasar RAT。其他黑客组织也在攻击中使用了这款恶意软件,包括 Gaza Cybergang (或称 Gaza 或 Molerats)。

Sobaken 是对 Quasar RAT 的大幅修改版本,不仅删除功能让可执行文件变得更小,而且还增加了多种反沙箱和其它规避技术。

Vermin RAT 是一款自定义后门,首次出现在2016年中期,现在仍在使用中。它用 .NET 编写而成,受 ConfuserEx 保护并使用免费的 Vitevic Assembly Embedder,将所要求的 DLL 嵌入主可执行文件中。

这款恶意软件支持截屏、读取目录内容、上传/下载/删除/重命名文件、监控和终止进程、执行 shell、运行键盘记录器、操纵文件夹、捕获音频和更新僵尸。

多数命令在主 payload 中实现,但该 RAT 还支持可选组件如音频记录器、键盘记录器、密码窃取器和 USB 文件窃取器。

ESET 公司表示,“和针对乌克兰高级别组织机构的攻击者相比,他们并未引发太多的公众注意。然而,这些攻击者证明,通过狡猾的社工技术,网络攻击就能够在不使用复杂恶意软件的前提下成功。这件事说明,除了提供高质量的安全解决方案外,还需要提升员工的网络安全意识。”

本文由360代码卫士翻译自SecurityWeek

声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。