乌克兰计算机紧急响应小组 (CERT-UA) 于 2025 年 4 月上旬发布了有关新网络攻击的警告。一个名为 UAC-0226 的威胁组织一直在针对乌克兰军队、执法部门和地方当局(尤其是东部边境附近的当局)开展网络间谍活动。
这些攻击是通过网络钓鱼电子邮件进行的,其中包含启用宏的 Excel 文件 (.xlsm),其主题行与排雷、行政处罚、无人机制造和被毁财产赔偿等敏感主题相关。
这些 Excel 文件包含恶意宏,当用户启用这些宏时,会部署两种类型的恶意软件。第一个是从 GitHub 存储库“PSSW100AVB”获取的 PowerShell 反向 shell 脚本,第二个是用 C/C++ 编写的名为 GIFTEDCROOK 的信息窃取恶意软件。
GIFTEDCROOK 从 Google Chrome、Microsoft Edge 和 Mozilla Firefox 等 Web 浏览器窃取敏感数据,例如 Cookie、浏览历史记录和保存的凭据。
网络钓鱼电子邮件通常通过网络邮件从受感染的帐户发送,从而赋予邮件合法性。
此公告恰逢与俄罗斯有联系的间谍组织 UNC5837 于 2024 年 10 月利用 RDP 针对欧洲政府和军事组织开展网络钓鱼活动的报道。CERT-UA 正在追踪这一活动,编号为 UAC-0215,其他研究组织已将其归因于俄罗斯的 APT29。
CERT-UA 建议系统管理员检查电子邮件和 Web 服务器日志的完整性和深度。
从:UAC-0226 通过针对乌克兰的恶意 Excel 文件部署 GIFTEDCROOK 窃取程序
【编辑部评论】
随着网络攻击手段的日新月异,UAC-0226的这次攻击尤其值得关注。这次袭击针对乌克兰的关键机构,可能对国家安全产生直接影响。
一种名为 GIFTEDCROOK 的新型信息窃取恶意软件的出现给网络安全行业敲响了警钟。该恶意软件能够从主要浏览器窃取数据,从而增加泄露个人和敏感数据的风险。
值得注意的是,攻击者正在利用开源工具。这表明网络攻击正变得越来越民主化,未来可能会出现更加多样化的威胁。
该攻击方式具有以下特点:一个例子是网络钓鱼电子邮件的复杂性。通过使用受感染的帐户并通过网络邮件发送消息,消息变得更加真实。这是一种用传统措施很难检测到的技术,表明需要新的安全措施。
此外,这次袭击主要针对乌克兰东部边境附近的机构,这一事实表明了地缘政治背景。我们再次被提醒,网络空间已成为国家间紧张局势的新战场。
此案例可以作为重新考虑组织安全系统的机会。特别是,在处理启用宏的 Excel 文件时必须格外小心。此外,人们重新认识到提高员工安全意识和提供多层防御的重要性。
预计未来此类复杂的针对性攻击将会进一步增加。组织必须不断收集最新的威胁信息并更新其安全措施。同时,需要加强国际合作,提高共同应对网络攻击的能力。
【术语解释】
UAC-0226
乌克兰 CERT-UA 跟踪的威胁行为者团体的识别码。 “UAC”代表乌克兰威胁行为者代码,指的是据信由国家支持的网络攻击组织。
天才骗子
这是一种新发现的信息窃取恶意软件。它是用C/C++开发的,具有从浏览器窃取身份验证信息和cookie的能力。
RDP(远程桌面协议)
Microsoft 开发的远程桌面连接协议。用于从远程位置操作计算机。
APT(高级持续威胁)
高级持续威胁。长期持续攻击特定目标的高级威胁行为者。通常指国家资助的黑客组织。
鱼叉式网络钓鱼
针对特定个人或组织的定制网络钓鱼攻击。
反向外壳
攻击者用来远程控制受害者终端的通信方法。
PowerShell 脚本
Windows 标准自动化脚本。很容易被利用来获得管理权限或创建后门。
信息窃取恶意软件(InfoStealer)
从浏览器、通讯工具、加密货币钱包等中提取个人信息的恶意软件。
宏恶意软件
利用 Microsoft Office 的宏功能来感染和执行代码的恶意文件。
[参考链接]
CERT-UA(乌克兰计算机应急响应小组)(外部)
负责应对乌克兰网络安全事件的政府机构。它提供有关网络威胁的警告和分析信息。
谷歌威胁情报小组 (GTIG)(外部)
Google 网络威胁分析团队的博客。我们发布最新网络威胁趋势和攻击方式的分析信息。
免费RDP(外部)
RDP 协议的开源实现。适用于包括 Windows、Linux 和 macOS 在内的多个平台的远程桌面客户端。
米特雷攻击&CK(外部)
编译网络攻击者的策略、技术和程序 (TTP) 的知识库。它被广泛用作安全措施的参考。
[编者后记]
网络攻击方法每天都在演变。您的组织中使用宏处理 Excel 文件的规则是什么?另外,作为针对网络钓鱼电子邮件的对策,您正在进行什么样的培训和教育?安全不仅关乎技术,更关乎人的意识。如果您愿意在社交媒体上分享您的努力和问题,我们将不胜感激。让我们分享最新的安全资讯,共同学习。