俄罗斯安全研究人员表示,他们发现了一个与乌克兰有联系的新网络间谍组织,该组织至少从今年一月起就开始运作。
他们将该组织命名为PhantomCore,并将攻击者之前未描述的远程访问恶意软件标记为 PhantomRAT。
总部位于莫斯科的网络安全公司 FACCT 表示,在对未具名俄罗斯公司的攻击中,黑客利用了WinRAR 中的一个已知漏洞(CVE-2023-38831)。
据 FACCT 称,PhantomCore 使用的策略与之前利用此漏洞的攻击不同。例如,研究人员表示,黑客通过利用特制的 RAR 存档而不是之前观察到的 ZIP 文件来执行恶意代码。
为了将 PhantomRAT 传送到受害者的系统中,黑客使用了网络钓鱼电子邮件,其中包含伪装成合同的 PDF 文件,以及附加的 RAR 存档,该存档受电子邮件中发送的密码保护。PDF 文件是网络间谍活动中的常见诱惑。
网络钓鱼电子邮件
恶意PDF附件
仅当用户使用低于 6.23 的 WinRAR 版本打开 PDF 文件时,才会启动存档中的可执行文件。
研究人员表示,在攻击的最后阶段,易受攻击的系统感染了 PhantomRAT,该系统能够从命令和控制 (C2) 服务器下载文件,并将文件从受感染的主机上传到黑客控制的服务器。
PhantomCore 组织的杀伤链
黑客在攻击活动中可以获得的信息包括主机名、用户名、本地IP地址和操作系统版本。通常,这些信息可以帮助黑客进行进一步的攻击。
在分析过程中,研究人员还发现了三个 PhantomRAT 测试样本,根据 FACCT 的说法,这些样本是从乌克兰上传的。
研究人员表示:“我们可以有一定把握地说,实施这些攻击的攻击者可能位于乌克兰境内。”
鉴于大多数西方网络公司在俄罗斯入侵乌克兰时离开了俄罗斯,因此它们在俄罗斯网络中的知名度有限。Recorded Future News 要求几家公司审查 FACCT 的研究。
Check Point 的研究人员表示,他们调查了该报告和相关漏洞,并确认该恶意软件确实按照描述运行。
Check Point 表示,所有运行 WinRAR 6.23 之前版本的系统都容易受到攻击。研究人员指出,存档中的特定示例仅针对 64 位系统设计——较新的 Windows 机器通常具有处理能力。Check Point 表示,在其他攻击中,有效负载可能会有所不同,如果攻击者需要的话,可能会同时影响 32 位和 64 位系统。
微软威胁情报战略总监 Sherrod DeGrippo 表示,该公司此前并未观察到 FACCT 归因于该组织的具体活动。Microsoft 和其他公司熟悉 CVE-2023-38831 的广泛利用,包括网络犯罪分子和国家支持的行为者。
转自会杀毒的单反狗,原文链接:https://mp.weixin.qq.com/s/BsSkIhQYI57MovPzyJ3sUA
暂无评论内容