近期，思科Talos研究人員發(fā)現(xiàn)了針對(duì)烏克蘭IT軍隊(duì)的惡意軟件活動(dòng)，威脅參與者正在使用一種模仿Liberator的竊取信息惡意軟件，而這種叫Liberator的工具是親烏克蘭的黑客用于攻擊俄羅斯宣傳網(wǎng)站的常用工具。

在俄羅斯入侵烏克蘭后，烏克蘭數(shù)字化轉(zhuǎn)型部長(zhǎng)米哈伊洛·費(fèi)多羅夫就呼吁對(duì)俄羅斯采取行動(dòng)，他試圖建立一支由志愿者組成的IT軍隊(duì)對(duì)俄羅斯發(fā)動(dòng)大規(guī)模攻勢(shì)，屆時(shí)也將有專門的電報(bào)頻道用以協(xié)調(diào)由這支IT軍隊(duì)發(fā)動(dòng)的網(wǎng)絡(luò)攻擊。

在思科發(fā)布的報(bào)告中，一些投機(jī)取巧的網(wǎng)絡(luò)犯罪分子正試圖通過提供惡意軟件來利用那些支持烏克蘭的人，而這些惡意軟件表面上是針對(duì)俄羅斯機(jī)構(gòu)的攻擊性網(wǎng)絡(luò)工具，可一旦下載后，這些文件會(huì)感染不知情用戶，而不是你以為的那種能對(duì)俄羅斯產(chǎn)生威脅的工具。思科表示：“我們觀察到一個(gè)案例，威脅行為者在Telegram上提供分布式拒絕服務(wù)(DDoS)工具，說是能用于攻擊俄羅斯網(wǎng)站，但下載的文件實(shí)際上是一個(gè)竊取信息的惡意程序?！?/p>

起初的Liberator工具是由一個(gè)名為disBalancer的組織開發(fā)的，主要是為了用于對(duì)俄羅斯宣傳網(wǎng)站發(fā)起攻擊，而現(xiàn)在受污染的Liberator工具正在Telegram上做廣告。該工具的開發(fā)是為了讓非技術(shù)人員能夠輕松地對(duì)從服務(wù)器獲取的俄羅斯網(wǎng)站列表發(fā)起攻擊。

這次行動(dòng)使用偽裝成Disbalancer.exe工具的投放器，該工具受Windows可執(zhí)行文件的 ASProtect 打包程序保護(hù)。一旦惡意軟件被投放到受害者的系統(tǒng)上，它就會(huì)執(zhí)行反調(diào)試檢查，然后它會(huì)按照進(jìn)程注入步驟將Phoenix信息竊取程序加載到內(nèi)存中。

從思科的報(bào)告中顯示，如果研究人員試圖調(diào)試惡意軟件的執(zhí)行，它會(huì)顯示出一個(gè)普通的錯(cuò)誤。該惡意軟件在執(zhí)行反調(diào)試檢查后，將啟動(dòng)包含.NET框架的Regsvcs.exe程序。在這種情況下， regsvcs.exe就已經(jīng)不是一個(gè)二進(jìn)制文件，它不但被注入了惡意代碼，更包括了Phoenix信息竊取程序。這種偽裝的工具將會(huì)借助這支IT軍隊(duì)之手獲取很多數(shù)據(jù)，包括 Web 瀏覽器數(shù)據(jù)、VPN 工具、Discord、Steam 和加密貨幣錢包。收集的數(shù)據(jù)被發(fā)送到端口6666上的遠(yuǎn)程IP地址 (95[.]142[.]46[.]35)。

思科的專家認(rèn)為這是一種投機(jī)取巧的行動(dòng)，因?yàn)樽?021年11月以來，同一IP地址一直在分發(fā) Phoenix。在報(bào)告的總結(jié)里，思科專家觀察到很多攻擊者用盡手段在系統(tǒng)是安裝惡意軟件，烏克蘭戰(zhàn)爭(zhēng)也不例外。同時(shí)，他們還發(fā)現(xiàn)一些網(wǎng)絡(luò)犯罪分子散布infostealer間諜軟件，這些人可能是由國(guó)家資助的威脅行為者，也可能是為了國(guó)家而工作的私人團(tuán)體?！? 最后，專家也提醒用戶警惕安裝來源不明的軟件，尤其是被放到互聯(lián)網(wǎng)上隨機(jī)聊天室的軟件。

參考來源：https://securityaffairs.co/wordpress/128894/cyber-crime/fake-ddos-tool-ukraines-it-army.html