APT组织UAC-0063(APT28)针对中亚外交关系发起网络攻击——每周威胁情报动态第209期 （01.10-01.16）

疑似APT组织UAC-0063(APT28)针对中亚外交关系发起网络攻击

2024年12月，网络安全公司Sekoia.io发布了一份报告，揭示了一个名为Double-Tap的网络间谍活动。这一活动由一个与俄罗斯有关联的高级持续性威胁（APT）组织UAC-0063发起，且可能与臭名昭著的APT28组织存在关联。此次攻击主要针对中亚地区，尤其是哈萨克斯坦的外交关系，涉及多个国家的政府机构和外交部门。

在2024年11月27日俄罗斯总统普京对哈萨克斯坦进行国事访问期间，Sekoia.io发现了一个使用合法Office文件的网络间谍活动。这些文件看似来自哈萨克斯坦外交部，却被武器化，用于收集中亚地区，包括哈萨克斯坦及其与亚洲和西方国家的外交和经济关系的战略情报。

UAC-0063是一个自2021年至少以来活跃的APT组织，2023年4月首次被乌克兰计算机应急响应小组（CERT-UA）曝光。该组织曾针对乌克兰、以色列、印度以及多个中亚国家（哈萨克斯坦、吉尔吉斯斯坦和塔吉克斯坦）开展网络间谍活动。其攻击目标集中在政府、外交、非政府组织、学术界、能源和国防等领域，地理上聚焦于乌克兰、中亚和东欧。2024年7月，CERT-UA再次发布报告，揭露UAC-0063利用新型恶意软件HATVIBE和CHERRYSPY，针对乌克兰科研机构发起攻击，并以中等信心将UAC-0063与APT28联系起来。

此次攻击活动涉及的恶意软件HATVIBE和CHERRYSPY的感染链此前已有部分公开报道。2023年5月，Bitdefender强调了自2022年底以来针对亚洲的网络间谍活动中使用的HATVIBE和CHERRYSPY恶意软件。几天后，CERT-UA也报告了这些恶意软件，将其与塔吉克斯坦驻乌克兰大使馆官方邮箱账户可能被攻陷的事件联系起来，该账户被用于针对哈萨克斯坦、吉尔吉斯斯坦、蒙古、以色列和印度的攻击。2024年7月，CERT-UA披露乌克兰科研机构再次通过员工邮箱账户被攻陷，证明该活动当时仍在进行。11月，Recorded Future揭示了该活动的规模，自2024年7月以来，已确认62个独特的受害者，分布在中亚、东亚和欧洲。

研究人员在2024年7月底关注到CERT-UA发布的关于UAC-0063活动的报告后，进一步研究以识别未来命令与控制（C2）服务器的模式，并通过Sekoia C2 Trackers项目进行追踪。同时，创建了一套YARA规则来检测感染链和部署的恶意软件。10月16日，名为“Rev5_Joint Declaration C5+GER_clean version.doc”的Office文档，看似是一份包含恶意宏的外交联合声明草案，会提示用户执行权限，进而导致主机被攻陷。通过该宏中的一个高度独特的密码，研究人员发现了10个此前未被公开披露的额外Word文档。调查共发现了18个带有嵌入宏的DOCX文件，包括7个空白文档，它们都属于同一感染链。几乎所有文档最初都可能属于哈萨克斯坦外交部，包括信件、草案或内部行政笔记，日期从2021年到2024年10月。最近的文档是两封外交信函，一封来自哈萨克斯坦驻阿富汗大使馆，另一封来自哈萨克斯坦驻比利时大使馆，均涉及外交合作和经济问题，日期为2024年9月初。

HATVIBE充当加载器来部署CHERRYSPY，CHERRYSPY是一个用于数据泄露和间谍活动的Python后门。初始访问通常是通过网络钓鱼电子邮件或利用易受攻击的面向Web的服务（如Rejetto HTTP文件服务器）来实现的。HATVIBE使用混淆技术（如XOR加密），并通过计划任务与mshta.exe持续运行。加载器通过HTTP PUT与C2服务器通信，共享系统详细信息。CHERRYSPY是一个Python后门，使用RSA和AES进行加密数据外泄。TAG-110使用它来针对政府和研究机构，提取敏感数据并监控系统。

参考链接：

https://blog.sekoia.io/double-tap-campaign-russia-nexus-apt-possibly-related-to-apt28-conducts-cyber-espionage-on-central-asia-and-kazakhstan-diplomatic-relations/

APT组织UNC3707针对欧洲能源基础设施的网络攻击

近日，网络安全公司StrikeReady Labs发现了一起针对能源基础设施的复杂网络间谍活动，该活动由一个与俄罗斯有关的高级持续性威胁（APT）组织发起。此次攻击主要针对欧洲和美国的能源部门，包括乌克兰的电力传输基础设施、斯洛伐克的天然气储存公司、美国的能源经纪公司、乌克兰的国际投资组织和财务审计组织等。这些目标都拥有对政府具有重要价值的敏感数据。

此次攻击活动自2024年10月初开始，攻击者通过鱼叉式网络钓鱼邮件，利用精心设计的诱饵文件，如“GIE Annual Conference 2024 in Munich Voting Result Event.pdf.lnk”和“Заява про витік газу ТОВ ОПЕРАТОР ГТС УКРАЇНИ.pdf.lnk”，诱导受害者点击链接，从而触发恶意软件的下载和执行。这些链接通过WebDAV服务器托管，利用“Downloads”目录来混淆视听，试图与更广泛的犯罪集团活动融为一体。

攻击的第一阶段载荷通过MSHTA执行，包含多个EXE文件和嵌入的<script>标签，这些文件被解析并执行。攻击者使用了多层混淆技术，社区中许多人将其称为emmenhtal。通过一系列的字符串替换和解码操作，攻击者最终从JavaScript转移到PowerShell，开始解密下一阶段的载荷。

在进一步的调查中，研究人员发现了一个名为ssowoface.dll的文件，该文件包含一个暴露的PDB路径和DLL入口点DoUpdateInstanceEx。通过查找类似的拼写错误，研究人员发现了droper_exe_for_lnk，其C2服务器为afi-ukraine.org/wp-includes/bestone.php。这一发现进一步证实了攻击者使用的基础设施和攻击路径。

此外，研究人员还发现了多个与攻击相关的域名和IP地址，这些域名和IP地址通过WebDAV服务器托管，返回HTTP响应代码207。通过查询CloudFlare托管的域名，研究人员能够扩展攻击者使用的域名集合。这些域名包括adobeprotectcheck.com、gieannualconferenceinmunich.com和annualgieconferenceinmunich2024.com等。

此次攻击活动的规模和复杂性表明，攻击者具有高度的专业能力和资源。攻击者不仅针对特定的能源基础设施，还通过持续的攻击和重新定位，显示出对乌克兰的特别关注。这种攻击模式与俄罗斯背景的APT组织的行为特征相符。

参考链接：

https://strikeready.com/blog/ru-apt-targeting-energy-infrastructure-unknown-unknowns-part-3/

https://strikeready.com/blog/finding-the-unknown-unknowns-part-2/

俄罗斯最大国家采购平台遭亲乌克兰黑客组织网络攻击

近日，俄罗斯最大的国家采购电子交易平台Roseltorg确认遭到网络攻击，导致平台服务暂时中断。最初，Roseltorg声称故障是由于“维护工作”造成的，但随后确认攻击来自一个亲乌克兰的黑客组织Yellow Drift。该组织声称在攻击中删除了550TB的数据，包括电子邮件和备份文件。

Roseltorg是俄罗斯政府选定的主要电子交易平台之一，用于进行公共采购，包括国防和建筑行业的合同。该平台还提供电子文档管理和采购规划工具。此次攻击不仅影响了平台的正常运营，还对依赖该平台的政府机构、国有企业和供应商造成了潜在的财务损失和采购流程的延误。

攻击发生后，Roseltorg在其Telegram声明中披露，平台遭受了“外部企图破坏数据和整个电子交易基础设施”的攻击。尽管Roseltorg表示所有受影响的数据和基础设施已完全恢复，且交易系统预计不久将恢复运行，但截至发稿时，该公司的网站仍处于离线状态。

此次攻击是本月针对俄罗斯公司的多起网络攻击事件之一。上周，一个身份不明的黑客组织声称攻破了俄罗斯政府机构Rosreestr，该机构负责管理财产和土地记录。另一个名为乌克兰网络联盟的黑客组织也声称对俄罗斯互联网提供商Nodex进行了攻击，声称在一夜之间摧毁了该公司的基础设施。

此外，乌克兰黑客组织Cyber Anarchy Squad在本周一宣布，他们攻击了俄罗斯科技公司Infobis，该公司开发用于规划、监控和核算农业工作的系统。黑客声称已窃取了三太字节的信息，并部分摧毁了该公司的基础设施，但Infobis尚未对此次所谓的攻击发表评论。

参考链接：

https://therecord.media/russian-platform-for-state-procurement-hit-cyberattack

黑客利用假YouTube链接窃取登录凭证

近日，网络安全分析师最新发现了一种新型网络钓鱼攻击，黑客利用假YouTube链接将用户重定向到钓鱼页面，从而窃取登录凭证。这种攻击通过操纵统一资源标识符（URI）和多层混淆技术来隐藏恶意意图，同时保持链接的表面真实性。

此次攻击的核心在于黑客对URI的巧妙操纵。恶意URL在初看上去似乎可信，通常以http://youtube等看似合法的字符串开头。这种手法利用了人们对熟悉域名的信任心理，隐藏了链接的真实目的地。通过研究人员的深度分析，可以清晰地看到攻击的全过程。

在一次分析会话中，恶意链接通过电子邮件分发。受害者收到一封提示“查看已完成文档”的电子邮件，这一操作看似合理。然而，邮件中嵌入的链接被巧妙地替换为可识别的域名，以增加可信度。尽管URL在第一眼看上去是真实的，但点击后会将受害者重定向到一个设计用来收集登录凭证的钓鱼页面。这种微妙的操纵非常有效，利用了用户对熟悉链接的信任心理，使其更加危险。

除了URI操纵外，攻击者还部署了多层重定向，以逃避自动化工具和用户的检测。这些重定向通常涉及多个中间域名，进一步隐藏了最终的钓鱼页面。当用户最终到达实际网站时，他们的警惕性往往已经降低，钓鱼页面与合法页面几乎无法区分。例如，上述攻击巧妙地加入了一个假的Cloudflare验证页面，以增强其可信度。一旦受害者点击链接，他们会被引导至一个看似常规的Cloudflare检查页面，页面上带有加载动画和提示，模仿合法的浏览器安全流程。这一额外的欺骗层旨在解除用户的怀疑，使他们相信自己正在通过一个安全可信的环境导航。当用户最终到达钓鱼页面时，他们更有可能在不质疑其真实性的情况下输入登录凭证。

此次攻击与Storm1747组织有关，该组织依赖一个组织良好的域名基础设施来实施攻击。其设置包括检查器、重定向器和主要钓鱼页面，所有这些都使用Tycoon 2FA钓鱼工具包的标准化模板构建。这些现成的组件使攻击者能够快速高效地部署大规模钓鱼活动。他们的一个关键伎俩是替换URL中的用户信息字段，这是一种使恶意链接看起来合法的巧妙策略。这种技术不仅限于Storm1747，还被其他钓鱼工具包如Mamba 2FA和EvilProxy使用，这些工具包旨在创建令人信服的假登录页面。

参考链接：

https://hackread.com/hackers-fake-youtube-links-steal-login-credentials/

知名医疗机构Medusind数据泄露事件，超36万人的健康和个人信息曝光

近日，医疗保健组织的主要账单和收入管理服务提供商Medusind披露了一起数据泄露事件，该事件导致超过36万人的敏感信息被泄露。此次泄露事件发生在2023年12月，尽管已过去一年多，但直到现在才公开报告。

Medusind总部位于迈阿密，支持美国和印度的12个地点的6000多家医疗保健提供者，帮助他们简化账单流程并增加收入。根据提交给缅因州总检察长办公室的通知，Medusind在发现系统内可疑活动后识别出了此次泄露事件。这促使该公司立即关闭受影响的系统，并聘请网络安全公司对事件进行调查。调查发现，网络犯罪分子可能已获得访问权限并复制了包含受影响个人的个人和医疗详细信息的文件。在此次泄露中被泄露的信息包括健康保险详细信息、账单记录以及如处方历史和医疗记录编号等医疗数据。财务数据，包括银行账户和信用卡信息，以及政府颁发的身份证件，也遭到曝光。此外，地址、电话号码和电子邮件地址等联系方式也是被盗数据的一部分。

作为回应，Medusind正通过Kroll为受影响的个人提供为期两年的免费身份保护服务。这些服务包括信用监控、身份盗窃恢复和欺诈咨询。该公司已建议个人保持警惕，通过审查财务报表和监控信用报告来关注不寻常的活动，这些活动可能表明身份盗窃。Medusind事件紧随医疗保健领域的其他一系列高调泄露事件。2024年5月，Ascension报告称勒索软件攻击暴露了560万人的数据。同年10月，UnitedHealth披露了一起勒索软件事件导致的泄露，影响超过1亿人。

参考链接：

https://www.cysecurity.news/2025/01/medusind-data-breach-exposes-health-and.html

新型Banshee恶意软件变种威胁macOS用户

近日，网络安全公司Check Point发布最新研究报告，揭示了一种新型的Banshee恶意软件变种，该变种自去年9月以来至少已针对macOS用户实施攻击达四个月之久。这种恶意软件主要窃取用户的密码、加密货币钱包、浏览器凭证以及其他敏感数据。

据研究人员发现，最新版本的Banshee恶意软件主要通过恶意的GitHub上传以及其他网站进行传播（尽管GitHub的政策明确禁止恶意软件，但仍无法完全杜绝其存在）。该恶意软件常常伪装成流行的Telegram消息应用或Google Chrome浏览器，以此欺骗用户下载。一旦安装，Banshee会利用苹果的专有字符串加密算法XProtect来逃避检测。

Banshee恶意软件的主要攻击目标包括用户在Chrome、Brave、Edge或Vivaldi浏览器中的浏览活动。此外，如果用户安装了任何加密货币钱包浏览器扩展，该恶意软件还会尝试窃取其加密货币。Banshee还可能向macOS用户展示伪造的登录页面，以窃取其用户名和密码，进而盗取账户和资金。具体来说，Banshee会针对Coinbase、Ronin、Slope、TONNE、MetaMask等加密货币钱包扩展进行攻击。

值得注意的是，Banshee的源代码于去年11月被泄露到网上，这可能有助于安全公司在此后的几个月中及时发现并防御这一更隐蔽的恶意软件版本。此前，Banshee恶意软件曾在网络犯罪渠道上以“窃取即服务”（stealer-as-a-service）的形式进行销售，每个“许可证”的售价高达3000美元。

为了保护用户免受此类信息窃取恶意软件的侵害，安全专家建议，如果用户拥有超过1000美元的加密货币，应考虑使用Ledger或Trezor等硬件钱包。此外，一般而言，避免在任何基于浏览器扩展的加密货币钱包中存储超过1000美元的资金也是一个明智的做法（用户也可以选择将资金存储在Coinbase、Robinhood或Kraken等交易所）。同时，切勿将密码保存在计算机上的不安全数字文档中（例如Google Docs），而是应考虑将加密货币的助记词写在纸上，并存放在家中的封闭盒子或保险箱中。

参考链接：

https://www.cysecurity.news/2025/01/new-version-of-banshee-malware-targets.html

LockBit勒索软件关键开发者Rostislav Panev被捕

近日，美国司法部宣布逮捕了Rostislav Panev，这位51岁的俄罗斯和以色列双重国籍公民被指控是LockBit勒索软件集团的关键开发者。LockBit自2019年成立以来，已成为全球最具破坏性的勒索软件之一，攻击了超过2500个目标，造成数十亿美元的损失。

Panev于2024年8月在以色列被逮捕，目前正等待引渡至美国。据起诉书称，Panev自LockBit成立之初就参与其中，直至2024年2月。在此期间，他与其他共犯将LockBit发展成为全球最活跃和最具破坏性的勒索软件集团之一。LockBit的攻击目标广泛，包括个人、小企业、跨国公司、医院、学校、非营利组织、关键基础设施以及政府和执法机构。

LockBit的运作模式包括“开发者”和“附属成员”。开发者如Panev负责设计LockBit恶意软件代码并维护其运行基础设施，而附属成员则执行LockBit攻击并勒索赎金。据称，Panev在被捕时，执法部门在其电脑上发现了LockBit构建器的管理员凭据，该构建器允许附属成员为特定目标生成定制的LockBit勒索软件。

此次逮捕是国际执法合作打击网络犯罪的结果。美国司法部表示，此次行动得到了欧盟、英国、法国和以色列等国执法机构的大力支持。尽管如此，LockBit的威胁并未完全消除。据称，LockBit 4.0版本已在开发中，预计将在2025年发布。

参考链接：

https://www.zataz.com/ransomware-lockbit-arrestation-du-developpeur-cle-rostislav-panev/

新型Codefinger勒索软件利用AWS S3存储桶展开攻击

近日，网络安全公司Halcyon RISE Team发现了一种新型的勒索软件攻击，名为Codefinger，该攻击专门针对Amazon S3存储桶。Codefinger勒索软件利用AWS的服务器端加密功能（Server-Side Encryption with Customer-Provided Keys，简称SSE-C），将受害者的数据加密，并要求支付赎金以获取解密所需的对称AES-256密钥。此次攻击标志着勒索软件的复杂性显著升级。与传统的本地文件加密勒索软件不同，Codefinger直接在AWS环境中操作，利用SSE-C的固有安全性，使数据在没有攻击者提供的解密密钥的情况下无法恢复。

据Halcyon的调查，此次攻击归因于一个名为“Codefinger”的威胁行为者。攻击的初始步骤是获取AWS凭证，这通常是通过社会工程学、网络钓鱼攻击或利用受害者基础设施其他部分的漏洞实现的。一旦获得这些凭证，Codefinger利用它们访问S3存储桶并启动加密过程。通过SSE-C，攻击者使用自动生成的唯一AES-256密钥对数据进行加密。

值得注意的是，此次攻击并未利用AWS自身的任何漏洞。相反，它依赖于威胁行为者首先获取AWS客户的账户凭证。由于没有已知的方法可以在不支付赎金的情况下恢复数据，这种策略代表了勒索软件能力的一个令人担忧的演变。

此次攻击的一个关键方面是，AWS仅记录加密密钥的HMAC（基于哈希的消息认证码），而不是密钥本身。虽然HMAC提供了完整性验证，但对于数据恢复来说是不够的，这使得受害者在不支付赎金的情况下没有可行的解密手段。

为了进一步施压受害者，Codefinger实施了积极的删除计划。文件在加密后七天内被标记为自动删除，这增加了紧迫感，并提高了受害者支付赎金的可能性。为了便于支付和沟通，攻击者通常会在受影响的S3存储桶中留下勒索信，提供比特币支付的说明和每个受害者的唯一客户端ID。

此次攻击的后果是严重的。通过利用AWS的核心安全服务，攻击者有效地将一个可信的机制武器化，使得数据恢复变得更加困难。这种方法不仅使数据无法访问，还限制了取证分析和恢复选项。此外，此次攻击的成功可能会激励其他威胁行为者采用类似的策略，导致利用原生云服务进行恶意目的的攻击激增。

参考链接

https://hackread.com/codefinger-ransomware-amazon-aws-encrypt-s3-buckets/