据卡巴斯基称,与”论坛巨魔行动” 相关的威胁行为者被确认为近期一系列针对俄罗斯境内人士的钓鱼攻击的幕后黑手。
这家俄罗斯网络安全厂商表示,其在2025年10月检测到这一新活动。该威胁行为者的来源目前尚不清楚。
“春季的网络攻击主要针对组织,而秋季的活动则瞄准了特定的个人:在俄罗斯主要大学和研究机构工作的政治学、国际关系和全球经济领域的学者,” 安全研究员 Georgy Kucherin 说。
“论坛巨魔行动”指的是一系列利用Google Chrome浏览器中一个零日漏洞 进行复杂钓鱼攻击的活动,旨在传播LeetAgent后门 和名为Dante的间谍软件植入程序。
最新的攻击浪潮同样始于伪装成 “俄罗斯科学电子图书馆” 发送的钓鱼邮件,发件地址为 “support@e-library[.]wiki”。该域名注册于2025年3月,比攻击活动开始早了六个月,这表明攻击准备工作已经进行了一段时间。
卡巴斯基指出,这种策略性的域名老化处理是为了避免因使用新注册域名发送邮件而引发通常的危险信号。此外,攻击者还在虚假域名上托管了合法eLibrary首页的副本,以维持骗局。
这些邮件引导潜在目标点击指向恶意网站的嵌入链接,以下载所谓的”抄袭报告”。一旦受害者照做,一个命名格式为 “<姓氏><名字><父称>.zip” 的ZIP压缩包便会下载到其设备上。
更重要的是,这些链接设计为一次性使用,意味着任何后续尝试访问该URL的操作都会显示一条俄语消息:”下载失败,请稍后再试”。如果用户从非Windows平台尝试下载,则会被提示”请在Windows电脑上重试”。
“攻击者还针对他们的目标——该领域的特定专业人士——精心个性化设计了钓鱼邮件,” 该公司表示。”下载的压缩包以受害者的姓氏、名字和父称命名。”
压缩包内含一个同名Windows快捷方式文件。当此LNK文件被执行时,会运行一个PowerShell脚本,从远程服务器下载并启动一个基于PowerShell的载荷。随后,该载荷会联系一个URL以获取最终阶段的DLL文件,并通过COM劫持实现持久化。同时,它还会下载并向受害者展示一个诱饵PDF文件。
最终的有效载荷是一个名为 Tuoni 的命令与控制及红队框架,使威胁行为者能够远程访问受害者的Windows设备。
“自2022年起,ForumTroll就一直在针对俄罗斯和白俄罗斯的组织和个人,” 卡巴斯基表示。”鉴于这段漫长的时间线,该APT组织很可能会继续针对这两个国家内感兴趣的实体和个人。”
此次披露之际,Positive Technologies详细介绍了两个威胁集群的活动:QuietCrabs(一个被怀疑是中国黑客组织,亦被追踪为UTA0178和UNC5221)和Thor(后者似乎自2025年5月起参与了勒索软件攻击)。
研究发现,这些入侵集合利用了Microsoft SharePoint、Ivanti Endpoint Manager Mobile、Ivanti Connect Secure 以及 Ivanti Sentry 中的安全漏洞。
QuietCrabs发起的攻击利用初始访问权限部署ASPX Web Shell,并用其传播能够下载并执行KrustyLoader 的JSP加载器,进而投放Sliver植入程序。
“Thor是一个在2025年首次被观察到攻击俄罗斯公司的威胁组织,” 研究人员 Alexander Badayev、Klimentiy Galkin 和 Vladislav Lunin 说。”作为最终载荷,攻击者使用LockBit和Babuk勒索软件,以及Tactical RMM和MeshAgent 来维持持久性访问。”
消息来源:thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
暂无评论内容