【入侵示範】疑似俄羅斯黑客高質釣魚攻擊 多重手法迴避防毒軟件偵測
烏俄之戰,網絡戰場亦打得熾熱。烏克蘭政府的電腦緊急應變團隊最新發出警告,懷疑是來自俄羅斯的黑客團隊 UAC-0056,假扮成烏克蘭政府機構向國民發出 Windows Bitdefender 安全更新電郵,實際上卻在散播入侵軟件。而且惡意軟件更是由 Go 程式語言寫成,變相令防毒軟件更難捕捉。
這次釣魚電郵攻擊採用了多種迴避防毒軟件偵測的策略,雖然行為卑劣,但也實在值得IT管理員參考。首先,黑客未有在釣魚電郵中直接附加惡意檔案,而是在信中內嵌一條下載虛假 Bitdefender 安全更新檔的網址,並且掛載在一個「清白」的法國伺服器上,減少被安全系統當作惡意或垃圾電郵的機會,讓更多烏克蘭國民可以收到信件。
如收件者誤信電郵內容,通過連結下載及安裝檔案,受害者會看到屏幕彈出一個偽真度高的「Installing the Windows Update Package」通知框,但實際上卻是從黑客控制的 Discord 內容,傳遞網絡下載滲透軟件 Cobalt Strikes,容許黑客在電腦設備上建立後門,入侵其聯結網絡的其餘電腦設備。
同一時間,電腦亦會下載一個以 base64 加密的檔案,令防毒軟件無法偵測程式碼中是否有惡意功能,它在被執行後會在 Windows Registry 上建立一條指令,讓它可以在每次開機時都被載入。檔案內更附有兩個以 Go 程式語言編寫的木馬軟件 GraphSteel 及 GrimPlant,選擇 Go 語言的好處是這種方法較新,同樣有低偵測率的優點。透過以上種種方法,難怪安全專家認為它的成功率非常高。
經過烏克蘭電腦緊急應變團隊的分析,專家認為這次攻擊與俄系 APT 黑客團隊 UAC-0056 (又稱 Lorec53)有關。UAC-0056 被發現由去年 12 月開始,提升了攻擊烏克蘭網絡的火力,而且他們又慣以釣魚電郵結合客製化木馬軟件攻擊目標,因此相信與他們有關。
相關文章:【扮勒索】全新惡意軟件WhisperGate 二階段攻擊旨在刪除電腦數據
https://www.wepro180.com/whispergate220119/