最近，Palo Alto Networks的科研人员揭露了有一个与俄罗斯有关联的威胁行动者——Fighting Ursa（亦称APT28、Fancy Bear或Sofacy）。该组织通过散布虚假的汽车销售广告，特别是针对外交官群体，散播名为HeadLace的后门恶意软件。

这一系列活动始于2024年3月，攻击者沿用了多年来对外交人员奏效的网络钓鱼手段，选取敏感主题吸引目标，并借助公共及免费平台承载攻击流程。

Unit42指出，早在2023年，另一类似威胁团队Cloaked Ursa也曾利用宝马汽车销售广告，对乌克兰外交使团发起攻击。

2023年6月，Insikt Group的研究人员观察到，隶属于俄罗斯GRU的APT28利用HeadLace信息窃取工具和凭证收集网页，对整个欧洲网络进行渗透。从2023年4月至12月，该APT组织分三阶段部署HeadLace，结合网络钓鱼、受侵的互联网服务及本地二进制文件等手段。这些凭证收集页面旨在瞄准乌克兰国防部、欧洲交通基础设施及阿塞拜疆某智库，通过在合法服务和被破坏的Ubiquiti路由器之间转发请求，绕过双因素认证和CAPTCHA挑战。

乌克兰国防部和欧洲铁路网络遭破坏后，攻击者手机里大量情报，企图影响战场策略及更广泛的军事布局。同时，他们对阿塞拜疆经济与社会发展中心的关注，也透露出其干预地区政策的意图。Insikt Group推测，这一系列行动旨在搅动地区及军事格局。

今年5月Fighting Ursa利用Webhook.site这一合法服务，通过托管含有恶意HTML的页面启动感染链。该页面与2024年3月14日提交至VirusTotal，内含用于甄别访问者是否使用Windows系统的脚本。非Windows用户则被导向ImgBB上的虚假图片。HTML页面还自动创建了一个ZIP压缩包供下载，包内藏有伪装成图片文件的Windows计算器可执行文件（实为HeadLace后门组件）、一个DLL文件及批处理脚本。诱饵是一张奥迪Q7 Quattro SUV的图片，谎称是“外交专用车辆出售”，附带虚假联系方式以增强欺骗性。

ZIP包中的IMG-387470302099.jpg.exe文件负责加载WindowsCodecs.dll（HeadLace后门的一部分），并执行批处理脚本。该脚本解码并执行从Webhook.site上第二个URL下载的内容，随后将其保存为IMG387470302099.jpg在用户下载目录，移至%programdata%目录并更改扩展名为.cmd执行，最后自我删除以掩盖恶意行为痕迹。

专家预测，Fighting Ursa将继续在其攻击架构中融入合法网络服务。Recorded Future的最新报告也指出，该组织的基础设施持续演变与扩张。其他行业报告亦揭示了该组织在散布HeadLace恶意软件时采用的多样化诱饵策略。为防范此类攻击，建议限制对类似托管服务的访问权限，并加强对免费服务使用的审查力度，以识别潜在攻击媒介。

参考来源：

https://securityaffairs.com/166496/apt/russia-apt-headlace-malware.html