首页 > 安全 > 正文

俄罗斯联系的Invisimole APT目标乌克兰的州组织

最后更新 :2022.03.22

乌克兰证书(CERT-UA)警告UAC-0035集团(AKA Invisimole)在乌克兰的州组织进行的矛网络钓鱼攻击。

政府团队回应乌克兰的电脑紧急情况(CERT-UA)警告由UAC-0035组(AKA Invisimole)对乌克兰国家机构进行的矛网络钓鱼消息。 邮件使用名为501_25_103.zip的存档,其中包含一个快捷文件。 打开LNK后文件,将在受害者计算机上下载和执行HTA文件。 

hta文件包含一个vbscript代码,用于获取和解码诱饵文件和恶意程序LoadEdgoor。

然后,后门联系命令和控制(C2)服务器以下载并执行其他恶意有效载荷,包括绑定DNS协议的隧道管理器,以便为恶意目的建立隧道,以及RC2FM和RC2CL。LoadEdge Backdoor保持坚持通过Windows注册表。 

政府团队应对乌克兰证书的电脑紧急情况 - UA的回应收到了关于乌克兰国家机构在电子邮件分发的协调主题的通知。阅读CERT-UA发布的咨询。该活动与UAC-0035组(Invisimole)的活动有关。 请注意恶意计划LoadEdge 24.02.2022的汇编日期。

乌克兰证书也分享了妥协指标(IOC)为了最近的攻击。。

本集团于2018年首次被ESET发现,当专家检测到一件复杂的间谍软件,被追踪为Invisimole,在过去的五年中用于俄罗斯和乌克兰的有针对性的攻击。

在过去的运动中,本集团在东欧的军事部门和外交使团中占了少数高调组织。

- END -

看更多