官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
近期,乌克兰计算机紧急事件响应政府小组 (CERT-UA)声称UAC-0035组织(又名 InvisiMole)针对乌克兰国家机构发起鱼叉式网络钓鱼邮件攻击,这些钓鱼邮件使用名为“501_25_103.zip”的存档,其中包含一个快捷方式文件。打开LNK文件后,将下载一个HTA文件并在受害者的计算机上执行。HTA文件包含一个VBScript代码,用于获取和解码诱饵文件和恶意程序 LoadEdge后门。
然后后门与远程命令和控制服务器建立联系以下载并执行其他恶意负载,包括TunnelMole、滥用DNS协议的恶意软件以及RC2FM和RC2CL。LoadEdge后门通过Windows注册表将会一直存在。
对此,CERT-UA及时发布了公告,公告中称:乌克兰CERT-UA计算机紧急情况应对政府小组收到政府机构的通知。通知中表明了该活动与UAC-0035组织(InvisiMole)的活动有关。请注意恶意程序LoadEdge的编译日期–24.02.2022,同时,CERT还分享了近期攻击的入侵指标(IoC)。
InvisiMole组织是与俄罗斯有关的威胁组织 ,从2013年以来一直保持活跃,虽然ESET专家将该组织与Gamaredon俄罗斯APT组织联系起来,但这两个组织很可能是独立的。该组织于2018年首次被ESET发现,当时专家们发现了一种复杂的间谍软件,被追踪为InvisiMole,在过去五年中用于俄罗斯和乌克兰的针对性攻击。在过去的活动中,该组织针对的是少数军事部门的知名组织和东欧的外交使团。
参考来源:https://securityaffairs.co/wordpress/129337/apt/invisimole-targets-ukraine-government.html