Vermin 黑客卷土重来，利用 SPECTR 恶意软件攻击乌克兰国防军-安全客

乌克兰网络防御者发现 Vermin 黑客在两年间断后卷土重来。该黑客组织通过鱼叉式网络钓鱼电子邮件攻击乌克兰国防军，这些电子邮件会用 SPECTR 恶意软件感染国防军系统，该恶意软件是一种远程访问木马 (RAT)。

乌克兰计算机应急响应小组 (CERT-UA) 与乌克兰武装部队网络安全中心合作，发现并调查了一起针对乌克兰国防军的鱼叉式网络钓鱼活动。该活动由 Vermin黑客组织策划，CERT-UA 将其编号为 UAC-0020。

此次网络攻击活动标志着 Vermin 组织在长时间隐退之后的再次归来，为了便于识别和参考，该组织将其命名为“SickSync”。

乌克兰将 Vermin 黑客归咎于被占领的卢甘斯克地区的执法机构。CERT-UA 此前声称， Vermin 组织的服务器设备多年来一直托管在卢甘斯克云托管提供商vServerCo（AS58271 ）的技术站点上。

帕洛阿尔托的 42 部队曾在 2018 年追踪过Vermin 黑客的类似活动，该活动使用与乌克兰国防部有关的网络钓鱼诱饵针对乌克兰人。

Vermin Hackers 最新活动详情
最新的攻击涉及使用 SPECTR 恶意软件，这是 Vermin 自2022 年 3 月以来的首次重大活动。SPECTR 是一种至少自 2018 年以来就为人所知的恶意软件，在针对乌克兰国防军的当前活动中被广泛使用。

攻击者利用合法 Syncthing 软件的同步功能从受感染的计算机下载被盗文档、文件、密码和其他敏感信息。Syncthing 支持点对点连接，这意味着它可以在本地网络上的设备之间或互联网上的远程设备之间同步文件。它是一款免费的开源同步应用程序，支持 Windows、macOS、Linux、Android、Solaris、Darwin 和 BSD 操作系统。

CERT-UA 称， Vermin 黑客利用该合法软件进行数据泄露。乌克兰网络防御者上个月报告称，俄罗斯黑客正在采用类似策略，使用合法的远程监控软件监视乌克兰及其盟友。

Vermin 攻击媒介
此次攻击是通过鱼叉式网络钓鱼电子邮件发起的，其中包含一个名为“ turrel.fop.vovchok.rar”的受密码保护的存档文件。该存档包含一个 RarSFX 存档“ turrel.fop.ovchok.sfx.rar.scr ”，其内容如下：

pdf：一个诱饵文件。
exe：使用 InnoSetup（Windows 程序的免费安装程序）创建的 EXE 安装程序，包含合法的 Syncthing 组件和 SPECTR 恶意软件文件。“ sync.exe ”文件被修改以更改目录名称、计划任务并禁用用户通知，将 SPECTR 恶意软件嵌入 SyncThing 环境中。
bat：初始执行的BAT文件。

RarSFX是 Bitdefender 创建的临时安装文件夹。它用作自解压档案的解压站点。

SPECTR 恶意软件组件
SPECTR 恶意软件具备 RAT 的功能，包含以下模块：

SpecMon：调用“PluginLoader.dll”执行包含“IPlugin”类的DLL文件。
屏幕截图：如果检测到某些程序窗口（例如 Word、Excel、Signal、WhatsApp），则每 10 秒截取一次屏幕截图。
FileGrabber：使用“ robocopy.exe ”将具有特定扩展名（例如 .pdf、.docx、.jpg）的文件从用户目录复制到%APPDATA%\sync\Slave_Sync \。
Usb：使用“robocopy.exe”从具有某些扩展名的 USB 媒体复制文件。
社交：窃取 Telegram、Signal 和 Skype 等通讯应用的身份验证数据。
浏览器：窃取浏览器数据，包括来自Firefox、Edge、Chrome 和其他基于 Chromium 的浏览器的身份验证和会话数据。

所有这些被盗信息都存储在“ %APPDATA%\sync\Slave_Sync\ ”位置，并使用 Syncthing 的同步功能传输到攻击者的计算机中。

Vermin Hackers、Vermin Hackers 的网络钓鱼邮件和恶意软件组件
电子邮件示例和 Vermin 黑客的恶意安装程序的内容（来源：CERT-UA）