探索网络安全新技术
攀登黑客技术最高峰

黑客发出警告:将对支持乌克兰加入北约的团体展开攻击

黑莓威胁研究和情报团队发现了针对支持乌克兰的海外组织进行的鱼叉式网络钓鱼活动。研究人员发现了两份IP地址为匈牙利提交的诱饵文件,这两份文件都针对即将向乌克兰提供支持的北约峰会参会者。

据悉,黑莓识别的诱饵文件冒充合法的非营利组织乌克兰世界大会(Ukrainian World Congress),文件显示为一封信,声明支持乌克兰政府加入北约联盟。专家们根据战术、技术和程序 (TTP)、代码相似性和攻击基础设施,将这些攻击归因于一个名为 RomCom(又名热带天蝎座UNC2596)的黑客组织

北约峰会将于7月11日到12日在维尔纽斯举行,会议期间将讨论未来可能加入乌克兰联盟的成员资格。这些黑客旨在让受害者点击乌克兰世界大会网站的特制复制品。攻击者使用域名仿冒技术用 .info 后缀伪装虚假网站,使其看起来合法。克隆的网站被发现时是属于托管流行软件的武器化版本。

黑客发出警告:将对支持乌克兰加入北约的团体展开攻击-威武网安

黑莓发布的报告中写道“一旦用户下载并执行Microsoft Word文件,就会从RTF加载一个OLE对象,该对象会连接到与VPN代理服务相关的IP地址104.232.39[.]26,或者连接到端口80、139和445(HTTP和SMB服务)。”

此文件的目标是将 OLE 流加载到 Word Microsoft,呈现出负责下一阶段恶意软件执行的 iframe 标记。打开文档后,会触发多阶段攻击链,还会利用漏洞CVE-2022-30190(也称为Follina)影响Microsoft的支持诊断工具(MSDT)。最后阶段的恶意软件是RomCom RAT,运营商使用它来收集那些受损系统的信息并执行远程命令。

根据现有信息,可以得出这是一次RomCom更名活动,或者RomCo黑客组织中的一个或多个成员支持的新的活动的幕后黑手。主要信息包括:

1.政治背景

2.合法网站的域名注册和 HTML 抓取

3.此活动与以前已知的 RomCom 活动之间的代码中的某些相似之处

4.网络基础设施信息

赞(0) 打赏
版权声明:本文采用知识共享 署名4.0国际许可协议 [BY-NC-SA] 进行授权
文章名称:《黑客发出警告:将对支持乌克兰加入北约的团体展开攻击》
文章链接:https://www.wevul.com/1891.html
本站所有内容均来自互联网,只限个人技术研究,禁止商业用途,请下载后24小时内删除。

评论 抢沙发

如果文章对你有帮助 可以打赏一下文章作者

非常感谢你的打赏,我们将继续提供更多优质内容,让我们一起创建更加美好的网络世界!

支付宝扫一扫打赏

微信扫一扫打赏

登录

找回密码

注册