最近,Palo Alto Networks的科研人员揭露了有一个与俄罗斯有关联的威胁行动者——Fighting Ursa(亦称APT28、Fancy Bear或Sofacy)。该组织通过散布虚假的汽车销售广告,特别是针对外交官群体,散播名为HeadLace的后门恶意软件。
这一系列活动始于2024年3月,攻击者沿用了多年来对外交人员奏效的网络钓鱼手段,选取敏感主题吸引目标,并借助公共及免费平台承载攻击流程。
Unit42指出,早在2023年,另一类似威胁团队Cloaked Ursa也曾利用宝马汽车销售广告,对乌克兰外交使团发起攻击。
2023年6月,Insikt Group的研究人员观察到,隶属于俄罗斯GRU的APT28利用HeadLace信息窃取工具和凭证收集网页,对整个欧洲网络进行渗透。从2023年4月至12月,该APT组织分三阶段部署HeadLace,结合网络钓鱼、受侵的互联网服务及本地二进制文件等手段。这些凭证收集页面旨在瞄准乌克兰国防部、欧洲交通基础设施及阿塞拜疆某智库,通过在合法服务和被破坏的Ubiquiti路由器之间转发请求,绕过双因素认证和CAPTCHA挑战。
乌克兰国防部和欧洲铁路网络遭破坏后,攻击者手机里大量情报,企图影响战场策略及更广泛的军事布局。同时,他们对阿塞拜疆经济与社会发展中心的关注,也透露出其干预地区政策的意图。Insikt Group推测,这一系列行动旨在搅动地区及军事格局。
今年5月Fighting Ursa利用Webhook.site这一合法服务,通过托管含有恶意HTML的页面启动感染链。该页面与2024年3月14日提交至VirusTotal,内含用于甄别访问者是否使用Windows系统的脚本。非Windows用户则被导向ImgBB上的虚假图片。HTML页面还自动创建了一个ZIP压缩包供下载,包内藏有伪装成图片文件的Windows计算器可执行文件(实为HeadLace后门组件)、一个DLL文件及批处理脚本。诱饵是一张奥迪Q7 Quattro SUV的图片,谎称是“外交专用车辆出售”,附带虚假联系方式以增强欺骗性。
ZIP包中的IMG-387470302099.jpg.exe文件负责加载WindowsCodecs.dll(HeadLace后门的一部分),并执行批处理脚本。该脚本解码并执行从Webhook.site上第二个URL下载的内容,随后将其保存为IMG387470302099.jpg在用户下载目录,移至%programdata%目录并更改扩展名为.cmd执行,最后自我删除以掩盖恶意行为痕迹。
专家预测,Fighting Ursa将继续在其攻击架构中融入合法网络服务。Recorded Future的最新报告也指出,该组织的基础设施持续演变与扩张。其他行业报告亦揭示了该组织在散布HeadLace恶意软件时采用的多样化诱饵策略。为防范此类攻击,建议限制对类似托管服务的访问权限,并加强对免费服务使用的审查力度,以识别潜在攻击媒介。
参考来源:
https://securityaffairs.com/166496/apt/russia-apt-headlace-malware.html