俄组织Fighting Ursa利用虚假汽车销售广告传播HeadLace后门

最近,Palo Alto Networks的科研人员揭露了有一个与俄罗斯有关联的威胁行动者——Fighting Ursa(亦称APT28、Fancy Bear或Sofacy)。该组织通过散布虚假的汽车销售广告,特别是针对外交官群体,散播名为HeadLace的后门恶意软件。

这一系列活动始于2024年3月,攻击者沿用了多年来对外交人员奏效的网络钓鱼手段,选取敏感主题吸引目标,并借助公共及免费平台承载攻击流程。

Unit42指出,早在2023年,另一类似威胁团队Cloaked Ursa也曾利用宝马汽车销售广告,对乌克兰外交使团发起攻击。

2023年6月,Insikt Group的研究人员观察到,隶属于俄罗斯GRU的APT28利用HeadLace信息窃取工具和凭证收集网页,对整个欧洲网络进行渗透。从2023年4月至12月,该APT组织分三阶段部署HeadLace,结合网络钓鱼、受侵的互联网服务及本地二进制文件等手段。这些凭证收集页面旨在瞄准乌克兰国防部、欧洲交通基础设施及阿塞拜疆某智库,通过在合法服务和被破坏的Ubiquiti路由器之间转发请求,绕过双因素认证和CAPTCHA挑战。

乌克兰国防部和欧洲铁路网络遭破坏后,攻击者手机里大量情报,企图影响战场策略及更广泛的军事布局。同时,他们对阿塞拜疆经济与社会发展中心的关注,也透露出其干预地区政策的意图。Insikt Group推测,这一系列行动旨在搅动地区及军事格局。

今年5月Fighting Ursa利用Webhook.site这一合法服务,通过托管含有恶意HTML的页面启动感染链。该页面与2024年3月14日提交至VirusTotal,内含用于甄别访问者是否使用Windows系统的脚本。非Windows用户则被导向ImgBB上的虚假图片。HTML页面还自动创建了一个ZIP压缩包供下载,包内藏有伪装成图片文件的Windows计算器可执行文件(实为HeadLace后门组件)、一个DLL文件及批处理脚本。诱饵是一张奥迪Q7 Quattro SUV的图片,谎称是“外交专用车辆出售”,附带虚假联系方式以增强欺骗性。

ZIP包中的IMG-387470302099.jpg.exe文件负责加载WindowsCodecs.dll(HeadLace后门的一部分),并执行批处理脚本。该脚本解码并执行从Webhook.site上第二个URL下载的内容,随后将其保存为IMG387470302099.jpg在用户下载目录,移至%programdata%目录并更改扩展名为.cmd执行,最后自我删除以掩盖恶意行为痕迹。

专家预测,Fighting Ursa将继续在其攻击架构中融入合法网络服务。Recorded Future的最新报告也指出,该组织的基础设施持续演变与扩张。其他行业报告亦揭示了该组织在散布HeadLace恶意软件时采用的多样化诱饵策略。为防范此类攻击,建议限制对类似托管服务的访问权限,并加强对免费服务使用的审查力度,以识别潜在攻击媒介。

参考来源:

https://securityaffairs.com/166496/apt/russia-apt-headlace-malware.html

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/395013.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

概率论原理精解【9】

文章目录 集类拓扑空间基 参考文献 集类 C是一个集类(以G的某些子集为元素的集合称为G的集类)。 A i ∈ C , ∩ i 1 n A i ∈ C , 此为有限交封闭 C 所得集类 C ∩ f A_i \in C,\cap_{i1}^nA_i \in C,此为有限交封闭C所得集类C_{\cap f} Ai​∈C,∩i1n…

windows和office微软官方免费激活教程

微软提供了windows系统和office的官方免费激活,其实不用去买什么激活码,官方提供了激活方式,完全免费。目前测试没发现什么问题,windows还支持永久激活,比一些乱七八糟的kms激活工具还省心。 github地址:Gi…

Xshell8最新版体验(业界最强大的SSH连接工具)

Xshell 是一款强大的 SSH 客户端,广泛用于远程管理和连接服务器。 一、主要特性 多标签界面: 支持在一个窗口中打开多个会话,每个会话以标签形式显示,方便用户在不同会话之间快速切换。 会话管理: 提供强大的会话管理…

Ubuntu安装MySQL5.7 + Apache + PHP + 禅道 保姆及教程

目录 开始安装MySQL 5.7 1、获取安装包 2、解压到指定位置 安装MySQL 启动MySQL 进入到MySQL进行测试 设置允许所有IP可以连接 配置允许远程连接 和 开启 gtid 和 binlog 日志(这一步如果不需要可以不操作 如果只需要配置允许远程连接只添加bind-address 0…

Google Mock 和 Google Test编写单元测试入门(环境配置、简单执行)

文章目录 环境的配置方法1:从源代码构建第一步:克隆库的源代码第二步:构建库 方法 2:使用 CMake 的 FetchContent示例 CMakeLists.txt 项目的创建项目结构CMakeLists.txt (根目录)main.cpp (示例程序)tests/CMakeLists.txt (测试部…

Spring-Kafka确认机制报错:No Acknowledgment available as an argument

问题出现 在spring boot集成kafka时报错,报错信息: No Acknowledgment available as an argument, the listener container must have a MANUAL AckMode to populate the Acknowledgment.翻译: Acknowledgment 参数不可用,监听…

本地部署MySQL图形化管理工具phpMyAdmin结合内网穿透远程访问

文章目录 前言1. 安装MySQL2. 安装phpMyAdmin3. 修改User表4. 本地测试连接MySQL5. 安装cpolar内网穿透6. 配置MySQL公网访问地址7. 配置MySQL固定公网地址8. 配置phpMyAdmin公网地址9. 配置phpmyadmin固定公网地址 前言 本文主要介绍如何在群晖NAS安装MySQL与数据库管理软件p…

TCP 通信全流程分析:从连接建立到数据传输的深度探索

目录 一、TCP报头 二、三次握手 三、数据传输 四、四次挥手 本文通过一次TCP通信过程的分析来学习TCP协议 一、TCP报头 如图是一份TCP报文的报头,标准报头是20个字节,还可带有选项报头,也就是TCP报头的最小长度是20字节。以下是对报头的各…

千里江山图,自动化成诗:Expect脚本详解——从入门到进阶的自动化利器

目录 引言 Expect脚本基础 什么是Expect 基本语法 进阶应用 错误处理 正则表达式 并发处理 使用Shell脚本管理多个Expect脚本 在Expect脚本内部模拟并发 脚本复用与模块化 总结 引言 在自动化运维和测试领域,Expect脚本无疑是一把强大的利器。它以其灵…

鸿蒙Image组件设置长按手势回调事件

Image组件默认是可拖拽的,给Image组件设置draggable为false,即可成功触发长按事件:

基于Hadoop的北京市二手房价数据分析与可视化

文章目录 有需要本项目的代码或文档以及全部资源,或者部署调试可以私信博主项目介绍总结每文 有需要本项目的代码或文档以及全部资源,或者部署调试可以私信博主 项目介绍 随着中国经济的快速发展和城市化进程的加速,房地产市场已成为国民经…

难题:反转链表

定义一个函数,输入一个链表的头结点,反转该链表并输出反转后链表的头结点。 思考题: 请同时实现迭代版本和递归版本。 数据范围 链表长度 [0,30]。 样例 输入:1->2->3->4->5->NULL输出:5->4->3->2->1->N…

sgetrf M N is 103040 时报错,这是个bug么 lapack and Openblas the same,修复备忘

1,现象 MN103040时,调用 sgetrf_ 时,无论是 LAPACK 还是 OpenBLAS,都出错: openblas: lapack: 2, 复现代码 出现问题的应该是由于M和N相对数字太大,乘积超出32bit整数的表达范围,…

vulnhub靶机tomato记录

https://www.vulnhub.com/entry/tomato-1,557/ 过程 用nmap对目标主机做全端口扫描,dirb做目录扫描,结果如下: 8888端口开放一个web服务,存在Basic认证,试了爆破无果,sun-answerbook是一个在线文档系统&am…

门店收银系统源码+同城即时零售多商户入驻商城源码

一、我们为什么要开发这个系统? 1. 商户经营现状 “腰尾部”商户,无小程序运营能力;自营私域商城流量渠道单一;无法和线下收银台打通,库存不同步,商品不同步,订单不同步; 2.平台服…

MongoDB学习记录

1、初识Mongo 概述:与关系型数据库不同,MongoDB 的数据以类似于 JSON 格式的二进制文档存储,通常称这种格式为Bson,Bson不仅支持JSON中已有的数据类型,还增加了一些额外的数据类型,例如日期和二进制数据&a…

python爬虫学习记录-请求模块urllib3

(文章内容仅作学习交流使用) urllib3是一个功能强大、条理清晰,用于HTTP客户端的第三方模块 urllib3-发送网络请求 使用urllib3发送网络请求时,需要先创建PoolManager对象,并使用该对象的request方法发送请求&#…

[Spring] Spring AOP

🌸个人主页:https://blog.csdn.net/2301_80050796?spm1000.2115.3001.5343 🏵️热门专栏: 🧊 Java基本语法(97平均质量分)https://blog.csdn.net/2301_80050796/category_12615970.html?spm1001.2014.3001.5482 🍕 Collection与…

Qt实现类似淘宝商品看板的界面,带有循环翻页以及点击某页跳转的功能

效果如下&#xff1a; #ifndef ModelDashboardGroup_h__ #define ModelDashboardGroup_h__#include <QGridLayout> #include <QLabel> #include <QPushButton> #include <QWidget>#include <QLabel> #include <QWidget> #include <QMou…

扩展【从0制作自己的ros导航小车】C++_ROS_QT5联合编译,简单界面为ROS开发增添交互

从0制作自己的ros导航小车 前言一、环境搭建二、联合编译三、测试 前言 前面已经实现了导航功能&#xff0c;对于之后的一些开发&#xff0c;有交互能力是比较重要的&#xff0c;比如小车上连接一块屏幕&#xff0c;通过屏幕来选择模式&#xff0c;可视化等等。QT是不错的选择…