疑似卢甘斯克组织针对乌克兰长达五年的攻击活动 – 作者:fuckgod

疑似LPR攻击乌克兰

今日,国外安全厂商fireeye披露了一起自2014起持续针对乌克兰政府实体的鱼叉钓鱼攻击。fireeye通过对其基础设施溯源关联,发现此起攻击活动与卢甘斯克人民共和国相关,该国于2014与乌克兰武装冲突后宣读独立,但一直未得到包括俄罗斯在内的任何联合国成员国的承认。

关于LPR

  卢甘斯克(Луганська, Lugansk),乌克兰东部,原名伏罗希洛夫格勒,为苏联建国十大元帅之一伏罗希洛夫的家乡。是乌克兰最东部一个州卢甘斯克州的首府。紧邻俄罗斯,和其他许多乌克兰东部州一样,该地区主要讲俄语。

1.png

    2014年3月5日,在基辅抗议者占领总统办公室12天后(当时乌克兰总统 维克多·亚努科维奇已经逃离乌克兰),在卢汉斯克州政府大楼前的一群人宣布亚历山大·卡里托诺夫在卢甘斯克地区担任“人民总督”。

2014年4月6日,一千名亲俄活动分子在卢甘斯克市占领并占领了乌克兰安全局(SBU)大楼。要求释放前几周被捕的分离主义领导人

2.png

4月21日,数千名抗议者聚集在卢甘斯克市区域国家行政管理局(RSA)大楼外的“人民大会”。这些抗议者呼吁建立“人民政府”,并要求乌克兰联邦化或将卢甘斯克纳入俄罗斯联邦

    4月27日在RSA大楼外聚会期间,亲俄活动家宣布“卢甘斯克人民共和国”。抗议者发出要求,称乌克兰政府应对所有抗议者实行大赦,将俄语作为乌克兰的官方语言,并就卢汉斯克州的地位举行全民公决.

    由于乌克兰政府未回应上述要求,2014年4月28日,乌克兰卢甘斯克的集会者宣布成立“卢甘斯克人民共和国”,集会期间宣读了相关文件。5月11日,卢甘斯克举行全民公投,96.2%的选民赞成卢甘斯克成立主权国家。2014年5月19日,“卢甘斯克人民共和国”正式致函联合国秘书长潘基文,要求联合国承认其独立主权国家的地位。

3.png

攻击活动

    2019年初,FireEye Threat Intelligence发现了一个针对乌克兰政府实体的钓鱼邮件。网络钓鱼电子邮件包含带有PowerShell脚本的恶意LNK文件,用于从命令和控制(C&C)服务器下载第二阶段有效负载。该电子邮件由乌克兰军事部门收到,其中包括与销售排雷机有关的诱饵内容。 

    这项最新活动是早在2014年针对乌克兰政府的鱼叉式网络钓鱼的延续。该电子邮件与先前以RATVERMIN为目标的乌克兰政府的活动相关联。基础设施分析表明,入侵活动背后的参与者可能与所谓的卢汉斯克人民共和国(LPR)有关。

    邮件钓鱼邮件于2019年1月22日发送,使用的主题为“SPEC-20T-MK2-000-ISS-4.10-09-2018-STANDARD”,发件人被伪造为Armtrac,一家美国的防务制造商。

4.png

    该电子邮件包括附件,文件名为“Armtrac-Commercial.7z”(MD5:982565e80981ce13c48e0147fb271fe5)。这个7z软件包包含“Armtrac-Commercial.zip”(MD5:e92d01d9b1a783a23477e182914b2454),其中包含两个良好的Armtrac文档和一个带有替换图标的恶意LNK文件。

Armtrac-20T-with-Equipment-35078.pdf(MD5:0d6a46eb0d0148aafb34e287fcafa68f)是来自Armtrac官方网站的良性文件

SPEC-20T-MK2-000-ISS-4.10-09-2018-STANDARD.pdf(MD5:bace12f3be3d825c6339247f4bd73115)是Armtrac 官方网站上的一份良性文件。

SPEC-10T-MK2-000-ISS-4.10-09-2018-STANDARD.pdf.lnk(MD5:ec0fb9d17ec77ad05f9a69879327e2f9)是一个执行PowerShell脚本的恶意LNK文件。有趣的是,虽然LNK文件使用伪造扩展来模拟PDF文档,但该图标被替换为Microsoft Word文档图标。

5.png

历史攻击活动

    编译时间表明,这位主要关注乌克兰的组织可能至少自2014年以来一直活跃。他们的活动最初是由FireEye Threat Intelligence在2018年初报道的。他们的复杂程度逐渐提高,并利用了自定义和开源恶意软件。

    2018年的活动使用独立的EXE或自解压RAR(SFX)文件来感染受害者。然而,他们最近的活动通过利用恶意LNK文件显示出更高的复杂性。该组使用了开源QUASARRAT和RATVERMIN恶意软件,还没有看到任何其他组使用过的恶意软件。域名解析和恶意软件编译时间表明该组可能最早在2014年开始运行。文件名和恶意软件分发数据表明该组主要关注乌克兰实体。

与所谓的卢甘斯克人民共和国的联系

    FireEye威胁情报分析发现了一些迹象表明,这项活动背后的行动者与所谓的卢汉斯克人民共和国(LPR)有联系。

注册人与官方所谓的LPR网站重叠

    基础设施分析表明,这些运营商与所谓的LPR和角色“re2a1er1”相关联。以前的LNK文件(sinoptik [。]网站)用作C&C的域名是在电子邮件“[email protected]”下注册的。电子邮件地址还注册了以下域名。

其中一个域名“xn – 90adzbis.xn – c1avg”是“мгблнр.орг”的Punycode,它是所谓的LPR国家安全部的官方网站(图3)。乌克兰立法将所谓的LPR描述为“暂时占领的领土”,将其政府描述为“俄罗斯联邦的占领政府”。

6.png

来源:freebuf.com 2019-04-16 23:52:14 by: fuckgod

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论