大家好,我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标,否则可能就无法及时看到啦!因为公众号只对常读和星标的公众号才能大图推送。操作方法:先点击上面的“紫队安全研究”,然后点击右上角的【...】,然后点击【设为星标】即可。
近年来,网络安全形势愈发复杂,尤其是在国家级黑客组织的操控下。近期,乌克兰计算机应急响应小组(CERT-UA)揭示了一起由俄罗斯军事情报部门(GRU)支持的APT28组织(即“Fancy Bear”)发动的新型网络攻击。这次攻击通过伪装成谷歌reCAPTCHA界面,利用恶意PowerShell命令,瞄准乌克兰地方政府的工作人员,令人防不胜防。
伪装的Google reCAPTCHA:让人放下警惕的陷阱
这场网络钓鱼活动的邮件主题为“表格替换”,表面上看是普通的文档处理请求。邮件中嵌入了一个链接,表面伪装成Google表单,但实际上点击后会跳转到一个伪造的Google reCAPTCHA页面。
然而,这个页面的目的并非验证是否为机器人,而是将恶意PowerShell命令复制到受害者的剪贴板。攻击者进一步诱导受害者按下“Win+R”键,在运行框中粘贴并执行这些命令。一旦执行,恶意代码便开始运行,攻击者即可远程控制受害者的系统。
恶意代码的隐藏目的:窃取敏感数据
研究发现,这段恶意代码会启动一个HTML应用程序(browser.hta),随后执行一个名为Browser.ps1的PowerShell脚本。该脚本功能强大,能够窃取以下敏感信息:
浏览器中的存储数据(如Chrome、Edge、Opera和Firefox);
用户的登录凭据;
系统中的重要文件;
设备的剪贴板内容。
更值得警惕的是,该脚本使用SSH隧道传输被窃取的数据,使攻击者能够将敏感信息直接发送到其控制的服务器。攻击者甚至可以利用这些工具进一步部署Metasploit等渗透测试框架,执行更复杂的攻击。
APT28的复杂战术与持续威胁
这并非APT28首次对乌克兰政府机构下手。早在2023年9月,CERT-UA就披露了该组织通过Roundcube邮件漏洞(CVE-2023-43770)发动的另一场攻击。利用该漏洞,攻击者在目标邮箱中植入自动转发规则,将所有邮件转发至攻击者的邮箱。
在本次reCAPTCHA骗局中,APT28使用了一个已知的被攻陷服务器mail.zhblz[.]com,并部署了大量基础设施以确保其攻击的持续性。
如何防范类似攻击?
面对APT28日益复杂的攻击手法,CERT-UA建议以下防范措施:
1. 提升安全意识:警惕不明邮件中的链接,即使看似熟悉的界面也要多加核实。
2. 加强身份验证:为重要账户启用多因素认证(MFA),防止凭据被轻易盗用。
3. 监控异常行为:定期审查系统日志,发现可疑的命令或活动迹象。
4. 定期更新系统:确保所有软件和漏洞补丁及时更新,尤其是使用广泛的工具和平台。
推荐阅读:知识星球连载创作"全球高级持续威胁:网络世界的隐形战争",总共26章,相信能够为你带来不一样的世界认知,欢迎感兴趣的朋友入圈沟通交流。
喜欢文章的朋友动动发财手点赞、转发、赞赏,你的每一次认可,都是我继续前进的动力。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...