美国坦克说明书成为攻击诱饵，利用 2017 年的 Office 漏洞针对乌克兰目标

网络安全研究人员发现了一项针对乌克兰的网络攻击行动，该行动利用了 Microsoft Office 中近七年的缺陷，在受感染的系统上安装 Cobalt Strike。

据 Deep Instinct 称，该攻击链发生于 2023 年底，采用 PowerPoint 幻灯片文件（“signal-2023-12-20-160512.ppsx”）作为起点，文件名暗示它可能已通过 Signal 即时通讯应用程序共享。

尽管上述推测合理，但没有实际证据表明 PPSX 文件是以这种方式分发的，乌克兰计算机紧急响应小组 (CERT-UA) 曾经发现两个使用Signal 即时通讯应用程序作为恶意软件传递方式的不同攻击。

上周，乌克兰计算机紧急响应小组 (CERT-UA) 披露的一份通告，乌克兰武装部队越来越多地成为 UAC-0184 组织的攻击目标，该组织通过消息传递和约会平台为HijackLoader（又名GHOSTPULSE和SHADOWLADDER）、XWorm和Remcos RAT等恶意软件以及开源软件提供服务sigtop和tusc等程序从计算机中窃取数据。

“PPSX（PowerPoint 幻灯片）文件似乎是美国陆军坦克扫雷刀片（MCB）的旧说明书。”安全研究员伊万·科萨列夫（Ivan Kosarev）说。“PPSX 文件包含与外部 OLE 对象的远程关系。”

这涉及利用CVE-2017-8570（CVSS 分数：7.8），这是 Office 中现已修补的远程代码执行错误，该漏洞允许攻击者在说服受害者打开特制文件、加载托管在 weavesilk[.]space 上的远程脚本。

严重混淆的脚本随后启动一个包含 JavaScript 代码的 HTML 文件，该文件反过来通过 Windows 注册表在主机上设置持久性，并丢弃模拟 Cisco AnyConnect VPN 客户端的下一阶段有效负载。

有效负载包括一个动态链接库（DLL），最终将破解的Cobalt Strike Beacon（一种合法的笔测试工具）直接注入系统内存，并等待来自命令和控制（C2）服务器（“petapixel”）的进一步指令。

该 DLL 还包含一些功能来检查它是否在虚拟机中执行并逃避安全软件的检测。

Deep Instinct 表示，它既不能将这些攻击与特定的威胁行为者或组织联系起来，也不能排除红队演习的可能性，同样不清楚入侵者的确切最终目标。

Kosarev说：“该诱饵包含与军事相关的内容，表明它的目标是军事人员。”

“但是域名 weavesilk[.]space 和 petapixel[.]fun 被伪装成一个不起眼的生成艺术网站 (weavesilk[.]com) 和一个流行的摄影网站 (petapixel[.]com)。这些是不相关的，而且有点令人费解的是，为什么攻击者会专门使用这些来愚弄军事人员。”

Deep Instinct研究团队的技术报告：

此次披露之际，CERT-UA透露，乌克兰约 20 家能源、水和供暖供应商已成为俄罗斯国家支持的名为 UAC-0133 的组织的攻击目标，UAC-0133 是Sandworm（又名 APT44、FROZENBARENTS、Seashell Blizzard、 UAC-0002 和 Voodoo Bear）的一个别名。

这些攻击旨在破坏关键操作，涉及使用Kapeka（又名 ICYWELL、KnuckleTouch、QUEUESEED 和rongsens）等恶意软件及其 Linux 变体 BIASBOAT，以及 GOSSIPFLOW 和 LOADGRIP。

GOSSIPFLOW 是一个基于 Golang 的 SOCKS5 代理，而 LOADGRIP 是一个用 C 语言编写的 ELF 二进制文件，用于在受感染的 Linux 主机上加载 BIASBOAT。

Sandworm 是一个多产且高度适应性的威胁组织，与俄罗斯联邦武装部队总参谋部 (GRU) 的 74455 部队有联系。据了解，该组织至少自 2009 年起就一直活跃，其对手还与XakNet Team、CyberArmyofRussia_Reborn和Solntsepek等三个黑客和泄密黑客活动人物有关。

Mandiant近期的报告（https://cloud.google.com/blog/topics/threat-intelligence/apt44-unearthing-sandworm）表示：“APT44 受到俄罗斯军事情报部门的支持，是一个充满活力、操作成熟的攻击者组织，该组织积极参与全方位的间谍活动、攻击和影响行动。”