Bleeping Computer 網(wǎng)站披露，疑似具有俄羅斯背景的黑客組織 APT29（又名 Nobelium，Cloaked Ursa）正在使用二手寶馬汽車廣告等非常規(guī)性”誘餌“，引誘西方駐烏克蘭外交官點(diǎn)擊帶有惡意軟件的鏈接。

過(guò)去兩年，APT29 組織針對(duì)北約、歐盟和烏克蘭等地的高價(jià)值目標(biāo)，使用帶有外交政策主題的網(wǎng)絡(luò)釣魚(yú)電子郵件或虛假網(wǎng)站，通過(guò)秘密后門(mén)感染目標(biāo)受害者。Palo Alto Network Unit 42 團(tuán)隊(duì)在發(fā)布的一份報(bào)告中指出 APT29 組織“進(jìn)化”了其網(wǎng)絡(luò)釣魚(yú)策略，目前已經(jīng)開(kāi)始使用對(duì)網(wǎng)絡(luò)釣魚(yú)電子郵件收件人更具吸引力的誘餌。

據(jù)悉，2023 年 4 月， 一名準(zhǔn)備離開(kāi)烏克蘭的波蘭外交官發(fā)布了合法汽車出售廣告，網(wǎng)絡(luò)威脅攻擊者攔截和模仿了該廣告，并在廣告中嵌入了惡意軟件，之后將其發(fā)送給在基輔工作的其他數(shù)十名外國(guó)外交官，

1689218715_64af6e9b79b3522a25cde.png!small?1689218717032

APT29 發(fā)送的惡意傳單（Unit 42 團(tuán)隊(duì)）

一旦收件人點(diǎn)擊惡意文檔中嵌入的“獲取更高質(zhì)量的照片”鏈接時(shí)，便會(huì)被重定向到一個(gè) HTML 頁(yè)面，該頁(yè)面通過(guò) HTML 傳遞惡意 ISO 文件有效載荷。  （HTML 走私是一種用于網(wǎng)絡(luò)釣魚(yú)活動(dòng)的技術(shù)，使用 HTML5 和 JavaScript 將惡意有效載荷隱藏在 HTML 附件或網(wǎng)頁(yè)的編碼字符串中。）

當(dāng)用戶打開(kāi)附件或點(diǎn)擊鏈接時(shí)，瀏覽器會(huì)對(duì)這些字符串進(jìn)行解碼，這時(shí)候惡意代碼會(huì)被混淆，并且只有在瀏覽器中呈現(xiàn)時(shí)才會(huì)被解碼，網(wǎng)絡(luò)攻擊者使用該技術(shù)有助于規(guī)避安全軟件。 據(jù)悉，ISO 文件主要包含九張 PNG 圖像，但實(shí)際上是 LNK 文件，它們可觸發(fā)下圖所示的感染鏈。

1689218726_64af6ea6347386dc43d51.png!small?1689218727113

Unit 42 團(tuán)隊(duì)觀察到的感染鏈

當(dāng)受害目標(biāo)打開(kāi)任何偽裝成 PNG 圖像的 LNK 文件時(shí)，就會(huì)啟動(dòng)一個(gè)合法的可執(zhí)行文件，該文件使用 DLL側(cè)載將 shellcode 注入內(nèi)存中的當(dāng)前進(jìn)程。

1689218736_64af6eb021b0c3f9f993a.png!small?1689218736788

ISO 檔案中包含的偽造PNG文件（Unit 42 團(tuán)隊(duì)）

Unit 42 團(tuán)隊(duì)指出此次網(wǎng)絡(luò)攻擊活動(dòng)主要針對(duì)基輔 80 多個(gè)外國(guó)使團(tuán)中至少有22個(gè)使團(tuán)，其中主要包括美國(guó)、加拿大、土耳其、西班牙、荷蘭、希臘、愛(ài)沙尼亞和丹麥的使團(tuán)。目前，受害目標(biāo)的感染率尚不清楚。

值得一提的是，大約 80% 收到惡意傳單的電子郵件地址是公開(kāi)在互聯(lián)網(wǎng)上的，由此可以看出，APT29 黑客組織一定是通過(guò)破壞目標(biāo)外交官賬戶和情報(bào)收集獲得另外 20% 的電子郵件地址。

1689218753_64af6ec11e454eb849a76.png!small?1689218754008

以烏克蘭大使館為目標(biāo)（Unit 42 團(tuán)隊(duì)）

APT29 組織最近發(fā)動(dòng)的另一個(gè)網(wǎng)絡(luò)釣魚(yú)的例子是 2023 年初發(fā)送給土耳其外交部的一份 PDF，該 PDF 指導(dǎo)為 2 月襲擊土耳其南部的地震提供人道主義援助。Unit 42 團(tuán)隊(duì)表示由于攻擊利用了絕佳的時(shí)機(jī)，該惡意 PDF 文件很可能在外交部員工之間共享，并被轉(zhuǎn)發(fā)給土耳其其他組織。

最后，Unit 42 團(tuán)隊(duì)指出隨著俄羅斯和烏克蘭雙方?jīng)_突的持續(xù)以及北約內(nèi)部不斷變化的事態(tài)有可能改變地緣政治格局，預(yù)計(jì)俄羅斯網(wǎng)絡(luò)間諜組織將繼續(xù)甚至加強(qiáng)針對(duì)外交使團(tuán)的攻擊。

文章來(lái)源：https://www.bleepingcomputer.com/news/security/russian-state-hackers-lure-western-diplomats-with-bmw-car-ads/#google_vignette