The Hacker News 網(wǎng)站披露，烏克蘭軍事實(shí)體組織近期成為一起網(wǎng)絡(luò)釣魚攻擊活動(dòng)的目標(biāo)，某些網(wǎng)絡(luò)犯罪分子利用無人機(jī)服務(wù)手冊為誘餌，傳播一種名為 Merlin 的工具包（基于 Go 語言開發(fā)）。

網(wǎng)絡(luò)安全公司 Securonix 研究人員 Den Iuzvyk、Tim Peck 和 Oleg Kolesnikov 向 The Hacker News 透露，無人機(jī)/無人駕駛飛行器（UAV）一直以來都是烏克蘭軍方慣用的軍事手段，因此以 UAV 服務(wù)手冊為主題的惡意軟件“引誘文件”，就成為網(wǎng)絡(luò)攻擊者常用的方式之一。

目前， Securonix 正在以 STARK#VORTEX 為名追蹤這一網(wǎng)絡(luò)攻擊活動(dòng)。

經(jīng)過安全研究人員分析，此次釣魚攻擊從一個(gè)微軟編譯的 HTML幫助（CHM）文件開始發(fā)起，一旦打開后，便會(huì)運(yùn)行嵌入在其中一個(gè) HTML 頁面中的惡意 JavaScript，然后執(zhí)行旨在聯(lián)系遠(yuǎn)程服務(wù)器獲取混淆二進(jìn)制文件的 PowerShell 代碼。

隨后，解碼基于 Windows 的有效載荷，提取 Merlin Agent，Merlin Agent 又被配置為與命令與控制 (C2) 服務(wù)器通信，以方便網(wǎng)絡(luò)攻擊者進(jìn)行后期開發(fā)行動(dòng)，從而有效奪取主機(jī)控制權(quán)。

研究人員強(qiáng)調(diào)雖然本次攻擊的攻擊鏈相當(dāng)簡單，但網(wǎng)絡(luò)攻擊者利用了一些相當(dāng)復(fù)雜的技術(shù)手段和混淆方法來逃避檢測。

值得一提的是，2023 年 8 月初，烏克蘭計(jì)算機(jī)應(yīng)急小組（CERT-UA）曾披露了一個(gè)類似的攻擊鏈，網(wǎng)絡(luò)攻擊者利用 CHM 文件作為誘餌，用開源工具感染受害者計(jì)算機(jī)系統(tǒng)。

CERT-UA 將攻擊活動(dòng)歸咎于其監(jiān)控的一個(gè)名為 UAC-0154 的網(wǎng)絡(luò)攻擊組織。

研究人員指出攻擊鏈中使用的文件和文檔能夠很好地繞過防御系統(tǒng)，通常情況下，通過互聯(lián)網(wǎng)接收微軟幫助文件會(huì)被認(rèn)為極不尋常。

最后，CERT-UA 表示其在幾周前，檢測到了俄羅斯國家支持的名為 APT28 的組織對該國一個(gè)未命名的關(guān)鍵能源基礎(chǔ)設(shè)施發(fā)動(dòng)了網(wǎng)絡(luò)攻擊，但未獲成功。

文章來源：https://thehackernews.com/2023/09/ukrainian-military-targeted-in-phishing.html