利用微软office七年漏洞！乌克兰遭网络攻击

4月30日

摘要

网络安全研究人员发现，这次针对乌克兰的行动利用了微软Office中一个近七年的漏洞，将Cobalt Strike传送到被攻击的系统上。

这次攻击链在2023年底发生，据Deep Instinct公司称，攻击者使用了一个PowerPoint幻灯片文件("signal-2023-12-20-160512.ppsx")作为起点，文件名暗示它可能是通过Signal即时通讯应用分享的。

尽管如此，实际上并没有证据表明PPSX文件是以这种方式分发的，尽管乌克兰计算机应急响应小组(CERT-UA)已经发现了两次不同的活动，它们都使用了这个通讯应用作为恶意软件的传播途径。

就在上周，该机构披露，乌克兰武装部队正日益成为UAC-0184组织通过通讯和约会平台传播恶意软件的目标，这些恶意软件包括HijackLoader（又名GHOSTPULSE和SHADOWLADDER）、XWorm和Remcos RAT，以及开源程序如sigtop和tusc，用于从计算机中窃取数据。

"PPSX（PowerPoint幻灯片）文件似乎是美国军队的一个旧版清雷刀（MCB）使用说明书，"安全研究员Ivan Kosarev说。"PPSX文件包含了一个远程关联到外部OLE对象的链接。"

这涉及到对CVE-2017-8570（CVSS评分：7.8）的利用，这是一个现已修补的Office远程代码执行漏洞，如果攻击者能够说服受害者打开一个特制的文件，就可以执行任意操作，加载托管在weavesilk[.]space上的远程脚本。

这个高度混淆的脚本随后启动一个包含JavaScript代码的HTML文件，该文件通过Windows注册表在主机上建立持久性，并且释放一个伪装成Cisco AnyConnect VPN客户端的下一阶段有效载荷。

该有效载荷包含一个动态链接库（DLL），最终将一个破解的Cobalt Strike Beacon（一个合法的渗透测试工具）直接注入到系统内存中，并等待来自命令和控制（C2）服务器("petapixel[.]fun")的进一步指令。

这个DLL还包含了一些功能，可以检查它是否在虚拟机中执行，并规避安全软件的检测。

Deep Instinct表示，它既无法将这些攻击与特定的威胁行为者或组织联系起来，也不能排除这是一次红队演练的可能性。目前还不清楚入侵的确切目标是什么。

"诱饵包含了与军事相关的内容，这表明它是针对军事人员的，"Kosarev说。

"但是，域名weavesilk[.]space和petapixel[.]fun伪装成了一个不太知名的生成艺术网站（weavesilk[.]com）和一个流行的摄影网站（petapixel[.]com）。这两者并无关联，我们对于攻击者为何会特意使用这两个域名来欺骗军事人员感到有些困惑。"

Sandworm针对乌克兰的关键基础设施#

这次披露是在CERT-UA揭示了大约20家乌克兰的能源、水和供暖供应商已经成为一个名为UAC-0133的俄罗斯政府赞助的组织的目标之后，该组织是Sandworm（又名APT44、FROZENBARENTS、Seashell Blizzard、UAC-0002和Voodoo Bear）的一个子集，该组织对乌克兰进行了大量的破坏性行动。

这些攻击旨在破坏关键操作，涉及使用像Kapeka（又名ICYWELL、KnuckleTouch、QUEUESEED和wrongsens）及其Linux变种BIASBOAT，以及GOSSIPFLOW和LOADGRIP等恶意软件。

GOSSIPFLOW是一个基于Golang的SOCKS5代理，而LOADGRIP是一个用C编写的ELF二进制文件，用于在被攻击的Linux主机上加载BIASBOAT。

Sandworm是一个多产且高度适应性的威胁组织，与俄罗斯联邦武装力量总参谋部主要指挥部的74455部队有关。它自2009年以来就已知活跃，该对手还与三个黑客和泄露黑客活动人物如XakNet Team、CyberArmyofRussia_Reborn和Solntsepek有关。

由俄罗斯军事情报部门赞助，APT44是一个动态且在操作上成熟的威胁行为者，自2022年1月以来，他们积极参与全方位的间谍、攻击和影响操作，"Mandiant公司说，描述这个持续性威胁（APT）正在进行多管齐下的努力，以帮助俄罗斯在冲突时获得优势。

2024.04.26

2024.04.25

2024.04.24

注：本文由E安全编译报道，转载请联系授权并注明来源。