俄罗斯安全研究人员表示,他们发现了一个与乌克兰有联系的新网络黑客组织,该组织至少从今年一月起就开始运作。
他们将该组织命名为PhantomCore,并将攻击者之前未描述的远程访问恶意软件标记为 PhantomRAT。
总部位于莫斯科的网络安全公司 FACCT 表示,在对未具名俄罗斯公司的攻击中,黑客利用了 Windows 文件归档工具 WinRAR 中的一个已知漏洞
该漏洞编号为 CVE-2023-38831,此前曾于2023 年初被利用,然后才得到修补。
据 FACCT 称,PhantomCore 使用的策略与之前利用此漏洞的攻击不同。例如,研究人员表示,黑客通过利用特制的 RAR 存档而不是之前观察到的 ZIP 文件来执行恶意代码。
为了将 PhantomRAT 传送到受害者的系统中,黑客使用了网络钓鱼电子邮件,其中包含伪装成合同的 PDF 文件,以及附加的 RAR 存档,该存档受电子邮件中发送的密码保护。 PDF 文件是网络间谍活动中的常见诱惑。
仅当用户使用低于 6.23 的 WinRAR 版本打开 PDF 文件时,才会启动存档中的可执行文件。
研究人员表示,在攻击的最后阶段,易受攻击的系统感染了 PhantomRAT,该系统能够从命令和控制 (C2) 服务器下载文件,并将文件从受感染的主机上传到黑客控制的服务器。
黑客在攻击活动中可以获得的信息包括主机名、用户名、本地IP地址和操作系统版本。通常,这些信息可以帮助黑客进行进一步的攻击。
在分析过程中,研究人员还发现了三个 PhantomRAT 测试样本,根据 FACCT 的说法,这些样本是从乌克兰上传的。
研究人员表示:“我们可以有一定把握地说,实施这些攻击的攻击者可能位于乌克兰境内。”
独立审查
无法证实 PhantomCore 的活动是否与乌克兰有关。鉴于大多数西方网络公司在俄罗斯入侵乌克兰时离开了俄罗斯,因此它们在俄罗斯网络中的知名度有限。 Recorded Future News 要求几家公司审查 FACCT 的研究。
Check Point 的研究人员表示,他们调查了该报告和相关漏洞,并确认该恶意软件确实按照描述运行。
Check Point 表示,所有运行 WinRAR 6.23 之前版本的系统都容易受到攻击。然而,研究人员指出,存档中的特定示例仅针对 64 位系统设计——较新的 Windows 机器通常具有处理能力。 Check Point 表示,在其他攻击中,有效负载可能会有所不同,如果攻击者需要的话,可能会同时影响 32 位和 64 位系统。
微软威胁情报战略总监 Sherrod DeGrippo 表示,该公司此前并未观察到 FACCT 归因于该组织的具体活动。
然而,Microsoft 和其他公司熟悉 CVE-2023-38831 的广泛利用,包括网络犯罪分子和国家支持的行为者。
例如,Group-IB在该漏洞被针对交易者的未知网络犯罪分子滥用后最初发现了该漏洞。随后,谷歌报告称,与俄罗斯有关的攻击者利用该漏洞,利用包含商用信息窃取程序的恶意 ZIP 文件瞄准能源行业。德格里波表示,谷歌还观察到另一个俄罗斯国家支持的组织利用该漏洞攻击乌克兰用户。
DeGrippo 还对 FACCT 关于 PhantomRAT 如何交付的断言之一提出异议。
“关于 PhantomCore 在威胁参与者的攻击链中使用 RAR 存档而不是 ZIP 文件,这种技术之前已经被观察到,”DeGrippo 补充道。例如,微软跟踪的森林暴雪组织利用 CVE-2023-38831 漏洞,在 RAR 存档中使用诱饵, 针对全球组织进行攻击。
云安全联盟的研究人员还观察到威胁参与者使用 RAR 存档文件被追踪为DarkPink 。
发表评论
您还未登录,请先登录。
登录