一、背景
随着战争的发展,俄乌双方在网络空间中的交锋也愈加激烈,多个国家级和民间黑客组织都参与到这场混战当中。2月中旬,APT组织Lorec53(洛瑞熊)发动多轮针对乌克兰的网络攻击活动;紧接着,乌克兰国防部和武装部队以及国有银行、Privatbank(乌克兰最大的银行)和Oschadbank均遭到DDoS攻击;近日,乌克兰国家安全局又征召国际黑客加入IT军团,对俄罗斯银行、企业和政府机构发动网络攻击,以对抗俄罗斯在网络空间的“数字入侵”。
近期,网络上也诞生了一个名为“IT ARMY of Ukraine”的Telegram组群,该组群以“乌克兰网军”为名号征召民间黑客发动针对俄罗斯的网络战。
二、事件概述
伏影实验室监控发现,目前已有攻击者通过冒充“IT ARMY of Ukraine”的Telegram组群进行钓鱼,向上万名成员发送钓鱼文件。
图1 “IT ARMY of Ukraine”组群
这个伪造的组群同样名为“IT ARMY of Ukraine”,对应地址为https://t.me/itarmyukraine2022,与原组群地址(https://t.me/itarmyofukraine2022)仅有两个字母的差异。组织者在群组内发布了多个黑客工具,包括一个名为“ddos-reaper.zip”的文件。发布者通过宣传该工具的DDoS攻击功能,诱导组群组内成员使用。经分析,该工具实际上是一个窃密软件,当使用者运行该工具后,自身信息就会被泄露给攻击者,可谓是“螳螂捕蝉黄雀在后”。
三、样本分析
3.1 样本功能
压缩包内包含多个文件,恶意组件部分是一个名为“ddos-reaper.exe”的二进制文件,该文件采用C++编写并添加了ASProtect壳。经归因研判,该文件是已部署的Hunter Stealer木马,,其主要功能为窃取用户主机信息。
图2 ddos-reaper.zip内文件
Hunter Stealer具备窃取用户的键盘输入、剪贴板内容,以及获取屏幕截图等能力。
图3 获取屏幕截图
图4 获取剪切板信息
Hunter Stealer还具备获取加密货币钱包地址、窃取浏览器cookie以及从本地FTP客户端软件获取凭证等功能。
图5 获取加密钱包地址
图6 从本地FTP客户端软件获取凭证
Hunter Stealer最终将窃取的信息使用TCP连接上传至远程服务器。其中收集到的日志信息以Base64加密的方式发送到服务器。
图7 上传日志数据
图8 解码后数据
最终采用压缩包格式将日志以及收集到的信息上传至远程服务器。
图9 上传窃密信息
图10 上传文件压缩包内容
3.2 关联
Hunter Stealer在俄语黑客论坛已存在了较长时间,关于该恶意软件的第一批售卖广告出现于2020年年末,当时犯罪分子以 550 卢布(约 7 美元)的价格提供具有一个月使用权限的版本, 4000 卢布(约合 50 美元)可以购买终身许可证。
时至今日,该恶意软件的使用仍相当普遍,并不断更新版本。
2021年10月份,伏影实验室捕获到一份以“加密货币”为话题的钓鱼文档,该文档后期会释放Hunter Stealer恶意软件。分析发现,该样本连接的C2(95.142.46[.]35)与本次事件中CnC相同,推断为同一攻击者。
图11 以“加密货币”为话题的钓鱼文档
四、总结
目前,乌克兰地区的冲突随着二次谈判的成功开始显现降温的趋势,但俄乌双方的网络战争仍然继续且愈发激烈。一方面,乌克兰总统宣布成立ITW组织以吸收民间力量参与网络战争;一方面,别有用心的黑产从业者早已张开大网,肆意的收割急匆匆入场的“正义支持者”。
本次通过伪造IT志愿军频道进行的钓鱼活动中,攻击者借助热点话题实现了对特定群体的信息收集,并进一步通过投放恶意文件入侵该群体的个人设备,从而获取多重利益。
目前,有大量黑产从业者正在使用类似方法对特定受害者群体进行钓鱼,如果这些攻击者将获得的个人信息出售给他国黑客群体,则有可能产生威胁国家网络安全的严重危害。因此,网络安全研究人员在面对日常网络威胁的过程中,不能仅关注其现有的危害,还要思考在战时,这些威胁是否会转变成网络战争的助力,并真正意识到这些威胁的严重性和与其持续对抗的重要性。
五、 IOC
298f5720e5348fdb48054266757fdd97
3D2B3F48DF123348C8821471A3F86DDD
DD20876BF25544AA55E0C3725103C666
1b09156cd8ee446a861202f8a1b3f5c0
a25138d0fb3df975647db323e5174b37
95.142.46.35
版权声明
本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。