近期,思科Talos研究人员发现了针对乌克兰IT军队的恶意软件活动,威胁参与者正在使用一种模仿Liberator的窃取信息恶意软件,而这种叫Liberator的工具是亲乌克兰的黑客用于攻击俄罗斯宣传网站的常用工具。
在俄罗斯入侵乌克兰后,乌克兰数字化转型部长米哈伊洛·费多罗夫就呼吁对俄罗斯采取行动,他试图建立一支由志愿者组成的IT军队对俄罗斯发动大规模攻势,届时也将有专门的电报频道用以协调由这支IT军队发动的网络攻击。
在思科发布的报告中,一些投机取巧的网络犯罪分子正试图通过提供恶意软件来利用那些支持乌克兰的人,而这些恶意软件表面上是针对俄罗斯机构的攻击性网络工具,可一旦下载后,这些文件会感染不知情用户,而不是你以为的那种能对俄罗斯产生威胁的工具。思科表示:“我们观察到一个案例,威胁行为者在Telegram上提供分布式拒绝服务(DDoS)工具,说是能用于攻击俄罗斯网站,但下载的文件实际上是一个窃取信息的恶意程序。”
起初的Liberator工具是由一个名为disBalancer的组织开发的,主要是为了用于对俄罗斯宣传网站发起攻击,而现在受污染的Liberator工具正在Telegram上做广告。该工具的开发是为了让非技术人员能够轻松地对从服务器获取的俄罗斯网站列表发起攻击。
这次行动使用伪装成Disbalancer.exe工具的投放器,该工具受Windows可执行文件的 ASProtect 打包程序保护。一旦恶意软件被投放到受害者的系统上,它就会执行反调试检查,然后它会按照进程注入步骤将Phoenix信息窃取程序加载到内存中。
从思科的报告中显示,如果研究人员试图调试恶意软件的执行,它会显示出一个普通的错误。该恶意软件在执行反调试检查后,将启动包含.NET框架的Regsvcs.exe程序。在这种情况下, regsvcs.exe就已经不是一个二进制文件,它不但被注入了恶意代码,更包括了Phoenix信息窃取程序。这种伪装的工具将会借助这支IT军队之手获取很多数据,包括 Web 浏览器数据、VPN 工具、Discord、Steam 和加密货币钱包。收集的数据被发送到端口6666上的远程IP地址 (95[.]142[.]46[.]35)。
思科的专家认为这是一种投机取巧的行动,因为自2021年11月以来,同一IP地址一直在分发 Phoenix。在报告的总结里,思科专家观察到很多攻击者用尽手段在系统是安装恶意软件,乌克兰战争也不例外。同时,他们还发现一些网络犯罪分子散布infostealer间谍软件,这些人可能是由国家资助的威胁行为者,也可能是为了国家而工作的私人团体。” 最后,专家也提醒用户警惕安装来源不明的软件,尤其是被放到互联网上随机聊天室的软件。
参考来源:https://securityaffairs.co/wordpress/128894/cyber-crime/fake-ddos-tool-ukraines-it-army.html