网络安全研究人员披露了一起活跃钓鱼活动的细节,该活动通过投递恶意ISO光盘镜像传播Phantom窃取程序,广泛针对俄罗斯多个行业领域。这项被Seqrite实验室代号为”Operation MoneyMount-ISO”的行动,主要锁定金融和会计实体,采购、法律、薪资等垂直领域成为次要目标。
这家网络安全公司表示:”该活动采用虚假支付确认诱饵,通过多阶段附件链传递Phantom信息窃取恶意软件。”
感染链始于伪装成合法财务通讯的钓鱼邮件,催促收件人确认近期银行转账。邮件附带的ZIP压缩包声称包含补充细节,实则内含ISO文件,启动后将在系统上挂载为虚拟CD驱动器。
该ISO镜像(”Подтверждение банковского перевода.iso”或”银行转账确认.iso”)作为可执行文件,旨在通过嵌入的DLL(”CreativeAI.dll”)启动Phantom窃取程序。Phantom窃取程序能够从基于Chromium的浏览器中安装的加密货币钱包浏览器扩展及桌面钱包应用提取数据,同时窃取文件、Discord身份验证令牌,以及浏览器相关密码、Cookie和信用卡详情。
它还能监控剪贴板内容、记录键盘输入,并运行系列检测以识别虚拟化、沙箱或分析环境,若检测到则中止执行。数据外泄通过Telegram机器人或攻击者控制的Discord网络钩子实现。此外,该窃取程序支持向FTP服务器传输文件。
近几个月来,俄罗斯组织(主要是人力资源和薪资部门)还遭受了另一类钓鱼邮件攻击,这些邮件利用与奖金或内部财务政策相关的诱饵,部署名为DUPERUNNER的未公开植入程序,用于加载开源命令控制框架AdaptixC2。
这项被命名为DupeHike的活动被归因于威胁集群UNG0902。Seqrite指出:”ZIP文件被用作鱼叉式网络钓鱼感染的初步来源,内含PDF和LNK扩展名的诱饵文件,下载植入程序DUPERUNNER,最终执行Adaptix C2信标。”LNK文件(”Документ_1_О_размере_годовой_премии.pdf.lnk”或”Document_1_On_the_amount_of_the_annual_bonus.pdf.lnk”)进而使用”powershell.exe”从外部服务器下载DUPERUNNER。该植入程序的主要职责是检索并显示诱饵PDF,并通过将其注入”explorer.exe”、”notepad.exe”和”msedge.exe”等合法Windows进程来启动AdaptixC2。
其他钓鱼活动则针对俄罗斯金融、法律和航空航天领域,分发Cobalt Strike及Formbook、DarkWatchman、PhantomRemote等能够实施数据窃取和键盘操控的恶意工具。已遭入侵的俄罗斯公司邮件服务器被用于发送鱼叉式钓鱼信息。
法国网络安全公司Intrinsec将针对俄罗斯航空航天行业的入侵活动归因于与乌克兰利益一致的黑客行动者。该活动于2025年6月至9月间被发现,与Hive0117、Operation CargoTalon及Rainbow Hyena(又称Fairy Trickster、Head Mare和PhantomCore)存在重叠。部分攻击还被发现会将用户重定向至托管在星际文件系统(IPFS)和Vercel上的钓鱼登录页面,旨在窃取与Microsoft Outlook及俄罗斯航空航天公司Bureau 1440相关的凭证。
Intrinsec表示:”2025年6月至9月间观测到的这些活动……旨在入侵在当前俄乌冲突中积极与俄罗斯军队合作的实体,这些实体大多受到西方制裁。”
消息来源:thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
暂无评论内容