在当今数字化时代,网络安全的重要性不言而喻,国际间的网络攻防战也愈发激烈。自 2025 年 2 月起,乌克兰政府的计算机应急响应小组 CERT-UA 便察觉到了一系列极为棘手的网络间谍活动,其攻击目标精准锁定了多个关键机构。军事领域创新发展中心、军事编队、执法机构,还有处于地缘政治敏感地带的东部边境地区地方政府,都被卷入这场不见硝烟的网络战争中。
攻击者的手段十分隐蔽且具有欺骗性。他们主要通过电子邮件发动攻击,邮件中暗藏玄机,附件是带有宏的 XLS 文档,文件扩展名是 “.xlsm”。这些附件的名称或主题精心设计,与领土排雷、行政罚款、无人机生产、财产损失赔偿等热门且敏感的话题挂钩,目的就是吸引收件人点击。而真正的 “致命武器”——“有效载荷”,就隐藏在 Excel 电子表格单元格中,以 base64 编码字符串的形式潜伏着。一旦收件人打开文档,邮件内的宏就会被触发,它能将这些编码字符串解码成可执行文件,悄无声息地在计算机中以无扩展名的形式保存下来,然后自动启动,如同隐藏在暗处的刺客,开始执行窃取信息等恶意任务。
截至 2025 年 4 月,CERT-UA 经过深入调查,已经确定了两种实施此类网络威胁的关键软件工具。第一种是.NET 程序,它内部存储着一个 PowerShell 脚本,而这个脚本的功能竟源自公共 GitHub 存储库 PSSW100AVB 中的反向 shell,就像是一个经过改装的 “网络武器”,被不法分子利用来攻击目标系统。第二种恶意软件名为 GIFTEDCROOK,是用 C/C++ 编写的窃取程序,其功能强大且危险。它能够深入 Chrome、Edge、Firefox 等常见互联网浏览器的数据库,将用户的 cookie、浏览历史记录、已保存的身份验证数据等重要信息一网打尽。随后,利用 PowerShell cmdlet Compress-Archive 对这些数据进行压缩,再偷偷地泄露至 Telegram,把受害者的隐私和重要信息暴露在危险之中。
恶意文件
4a2ec9f72b910c0a8e3efc4c334f5bad f8a31715840852e8ef04016b31f909123f2aa864f3850c45eb511fd1885b4037 28_02.2025.xlsme5f4188682e40e79800ccd165289c844 e852d254395ef04308bcde37c3ee9725ab23ca82a202e7d69028c8bee0f0d05f Microsoft OneDrive Assistant1b71d870f34587e0a2717f9925086eab a2f651d39b8d97221ad36577e9b50beabdf0ad46aec0c29b6cff624e1e2ffd0c kpbkewf32mm.ps1(26.03.2025)333b09f8865aae5d257b6f11f2fe5d08 a02506468e632875a2c9c9c16e730b8bdc52f7450b28ee7bd8f5ac014b264e53 Компенсація за зруйноване майно.xlsmb3831f0bace886aaba81873edc20aba4 40e68d7240e692ef3301cfaa92a04e0af65f2d725cbfa6711c3154b627fec0f1 Адміністративні штрафи співробiтників організації 921867.xlsm100cd9d907e986ba8d5fc6d0488557d9 58b38775f655498b134ce8cd52ab0aba05b710f7611e41cbdffdc3597c5d5f3d -8b694068e5088e0c32739956e28b077e 8427dc6e7da4c163d20c7f188232cf3f83c78ddb6fcad04cec84b33e0f9bdfc0 Windows Service (GIFTEDCROOK)0a178f76c48c038e8bad03a62b52cfc9 78ea83bfbca85a39e59fa35c8f704873f3fdad3a5278430e75286247530042b8 Windows Telemetry671b42e854ae2ee3341456fbec7c7787 92183f89b115881535b1bf1985f3ee4b4ebf077bec8cc4de0c6c6e266da0cb87 nnnnrth.ps1(02.04.2025)3394fc2ba0a976818691751aa7f86d05 0a4777725673f9f7114ddceddd80e5a72ad3a4d20fd2014d4c60e2cc1a6cefc2 Акцiя Defender ARMY (2).xlsmd280a258704bf9155bceaf4f731988ea 7ca3f2505e1778e6de3927571ba49d27b36447e6c28a60161d55fd2254966bce Svchost (GIFTEDCROOK)daffbfd71f8595ab6d6b8c94cc81a778 24a60e50ed8469fc31afa9abfc361291f72922430cf062bf9c4ac7e6d84b5fad Адміністративні штрафи 31.03 співробiтників організації 1744269.xlsm037e2ca3c97e1a5645cdc45fb0d98064 2930ad9be3fec3ede8f49cecd33505132200d9c0ce67221d0b786739f42db18a Runtime (GIFTEDCROOK)(04.04.2025)cffdd24742610fe5710dbc9ebd258c64 c8bb0dbc952c9dc2bbc550a300ed033ad5d2416390891ed1e800b08ad3ab5d3a Адміністративні штрафи організації 51324.xlsmf62ea2cbd220596072010e91dd65b673 530185fac69e756fb62f23e21e7c0b0828a964b91bbf40f1d04fc2136c1b6dd1 SysAnalyzer (GIFTEDCROOK)9f6c82c240ba5ef6bb85d28c0cdf7f7f c27cf714293c496c8fc05b330a57bcfcb6189267e2818062660de88b0f3a25cd Адміністративні штрафи співробiтників організації 291081.xlsmb63b783a9aca15726babd599d2963869 ff1be55fb5bb3b37d2e54adfbe7f4fbba4caa049fad665c8619cf0666090748a ServiceHub (GIFTEDCROOK)(07.04.2025)966373dbe28f4111f6ce47038fb343da 8a638a788adb0edb6622b16fd8783bc225470f8ff94b1bba4a94b4d8c105acef Адміністративні штрафи співробiтників організації 90482.xlsm9c03d0da190d1046583ba9fa83a8bcd3 d7a66fd37e282d4722d53d31f7ba8ecdabc2e5f6910ba15290393d9a2f371997 FlashAssistant (GIFTEDCROOK)
恶意地址
PROGRAMDATA%Microsoft OneDrive AssistantMicrosoft OneDrive AssistantPROGRAMDATA%Windows ServiceWindows ServicePROGRAMDATA%Windows TelemetryWindows TelemetryPROGRAMDATA%Microsoft RuntimeRuntimePROGRAMDATA%SvchostSvchostPROGRAMDATA%Microsoft ServiceHubServiceHubPROGRAMDATA%SysAnalyzerSysAnalyzerPROGRAMDATA%FlashAssistantFlashAssistantTMP%nmpoyqv5l0ig%TMP%status.zippowershell -Command Compress-Archive -Path %TMP%nmpoyqv5l0ig* -DestinationPath %TMP%status.zip
通信地址
149[.]102.246.110(VPN; 2025-02-28 00:00:22+0200 - 2025-02-28 16:10:29+0200)(tcp)://37[.]120.239.187:650137[.]120.239.187(C2)(tcp)://89[.]44.9.186:324089[.]44.9.186(C2)
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...