黑客组织利用 RATVERMIN 后门攻击乌克兰军事组织

 聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士团队

火眼公司指出，乌克兰多个军事部门遭鱼叉式钓鱼攻击。该攻击通过 Powershell 脚本释放一个 RATVERMIN 后门作为第二阶段的 payload。

该恶意活动始于2018年，至今仍然在攻击乌克兰政府部门。幕后的黑客组织似乎是所谓的“卢甘斯克人民共和国 (LPR)”。

火眼分析了攻击中所使用恶意软件的编译次数后认为，黑客组织似乎至少活跃于2014年，攻击活动“主要集中于乌克兰实体”。

另外，“2018年发动的攻击活动使用单独的 EXE 或自我提取的 RAR (SFX) 文件感染受害者。然而，最近的攻击活动利用了恶意的 LNK 文件，复杂度进一步加深。该组织使用了其它组织从未使用过的开源的 QUASARRAT 和 RATVERMIN 恶意软件。”

作为鱼叉式钓鱼攻击活动的一部分，黑客发送的邮件看似由英国国防制造商 Armtrac 发送。钓鱼邮件附加的多份诱导性文件旨在诱骗目标运行伪装成 LNK 文件的带有 PDF 扩展和 Word 文档图标的 PowerShell 释放器脚本。

另外两份是源自 Armtrac 网站的原始文档，旨在获取潜在受害者的信任，以 ZIP 格式打包，被压缩为 7z 格式的文档，名为“Armtrac-Commercial.7z”，并附加在钓鱼邮件后。

RATVERMIN 后门是 Palo Alto Networks 公司 Unit 42 在2018年1月发现的一个远程访问工具 (RAT)，它收集受害者信息并提取系统信息，并通过键盘记录器“收集所有按键和剪贴板数据并在存储数据前进行加密”。

和其它后门一样，RATVERMIN 还允许攻击者在受攻陷系统上运行多种命令，比如启动和杀死进程并捕获音频/屏幕截图来更新恶意软件并删除文件。

报告指出，“虽然归属性的确定需要有更多证据支撑，但该活动展示了网络间谍能力的可访问性，即便是国家黑客分支也是如此。”另外，“虽然这个特定组织主要针对乌克兰，但此前乌克兰遭遇的威胁已成为全球关注且受到监控。”

原文链接

https://www.bleepingcomputer.com/news/security/hacker-group-uses-ratvermin-backdoor-to-target-ukrainian-military/

题图：Pixabay License

本文由奇安信代码卫士编译，不代表奇安信观点，转载请注明“转自奇安信代码卫士 www.codesafe.cn”。