俄乌网络对抗:乌克兰民间网军ITW被钓鱼

一、背景

随着战争的发展,俄乌双方在网络空间中的交锋也愈加激烈,多个国家级和民间黑客组织都参与到这场混战当中。2月中旬,APT组织Lorec53(洛瑞熊)发动多轮针对乌克兰的网络攻击活动;紧接着,乌克兰国防部和武装部队以及国有银行、Privatbank(乌克兰最大的银行)和Oschadbank均遭到DDoS攻击;近日,乌克兰国家安全局又征召国际黑客加入IT军团,对俄罗斯银行、企业和政府机构发动网络攻击,以对抗俄罗斯在网络空间的“数字入侵”。

近期,网络上也诞生了一个名为“IT ARMY of Ukraine”的Telegram组群,该组群以“乌克兰网军”为名号征召民间黑客发动针对俄罗斯的网络战。

二、事件概述

伏影实验室监控发现,目前已有攻击者通过冒充“IT ARMY of Ukraine”的Telegram组群进行钓鱼,向上万名成员发送钓鱼文件。

图1 “IT ARMY of Ukraine”组群

这个伪造的组群同样名为“IT ARMY of Ukraine”,对应地址为https://t.me/itarmyukraine2022,与原组群地址(https://t.me/itarmyofukraine2022)仅有两个字母的差异。组织者在群组内发布了多个黑客工具,包括一个名为“ddos-reaper.zip”的文件。发布者通过宣传该工具的DDoS攻击功能,诱导组群组内成员使用。经分析,该工具实际上是一个窃密软件,当使用者运行该工具后,自身信息就会被泄露给攻击者,可谓是“螳螂捕蝉黄雀在后”。

三、样本分析

3.1 样本功能 

压缩包内包含多个文件,恶意组件部分是一个名为“ddos-reaper.exe”的二进制文件,该文件采用C++编写并添加了ASProtect壳。经归因研判,该文件是已部署的Hunter Stealer木马,,其主要功能为窃取用户主机信息。

图2 ddos-reaper.zip内文件

Hunter Stealer具备窃取用户的键盘输入、剪贴板内容,以及获取屏幕截图等能力。

图3 获取屏幕截图

图4 获取剪切板信息

Hunter Stealer还具备获取加密货币钱包地址、窃取浏览器cookie以及从本地FTP客户端软件获取凭证等功能。

图5 获取加密钱包地址

图6 从本地FTP客户端软件获取凭证

Hunter Stealer最终将窃取的信息使用TCP连接上传至远程服务器。其中收集到的日志信息以Base64加密的方式发送到服务器。

图7 上传日志数据

图8 解码后数据

最终采用压缩包格式将日志以及收集到的信息上传至远程服务器。

图9 上传窃密信息

 

图10 上传文件压缩包内容

3.2 关联

Hunter Stealer在俄语黑客论坛已存在了较长时间,关于该恶意软件的第一批售卖广告出现于2020年年末,当时犯罪分子以 550 卢布(约 7 美元)的价格提供具有一个月使用权限的版本, 4000 卢布(约合 50 美元)可以购买终身许可证。

时至今日,该恶意软件的使用仍相当普遍,并不断更新版本。

2021年10月份,伏影实验室捕获到一份以“加密货币”为话题的钓鱼文档,该文档后期会释放Hunter Stealer恶意软件。分析发现,该样本连接的C2(95.142.46[.]35)与本次事件中CnC相同,推断为同一攻击者。

图11 以“加密货币”为话题的钓鱼文档

四、总结

目前,乌克兰地区的冲突随着二次谈判的成功开始显现降温的趋势,但俄乌双方的网络战争仍然继续且愈发激烈。一方面,乌克兰总统宣布成立ITW组织以吸收民间力量参与网络战争;一方面,别有用心的黑产从业者早已张开大网,肆意的收割急匆匆入场的“正义支持者”。

本次通过伪造IT志愿军频道进行的钓鱼活动中,攻击者借助热点话题实现了对特定群体的信息收集,并进一步通过投放恶意文件入侵该群体的个人设备,从而获取多重利益。

目前,有大量黑产从业者正在使用类似方法对特定受害者群体进行钓鱼,如果这些攻击者将获得的个人信息出售给他国黑客群体,则有可能产生威胁国家网络安全的严重危害。因此,网络安全研究人员在面对日常网络威胁的过程中,不能仅关注其现有的危害,还要思考在战时,这些威胁是否会转变成网络战争的助力,并真正意识到这些威胁的严重性和与其持续对抗的重要性。

五、 IOC

298f5720e5348fdb48054266757fdd97

3D2B3F48DF123348C8821471A3F86DDD

DD20876BF25544AA55E0C3725103C666

1b09156cd8ee446a861202f8a1b3f5c0

a25138d0fb3df975647db323e5174b37

95.142.46.35

版权声明

本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。

Spread the word. Share this post!

Meet The Author

伏影实验室专注于安全威胁监测与对抗技术研究。
研究目标包括Botnet、APT高级威胁,DDoS对抗,WEB对抗,流行服务系统脆弱利用威胁、身份认证威胁,数字资产威胁,黑色产业威胁及新兴威胁。通过掌控现网威胁来识别风险,缓解威胁伤害,为威胁对抗提供决策支撑。