首页 > 安全 > 正文

中国威胁演员Scanab目标乌克兰,Cert-UA警告

最后更新 :2022.03.26

乌克兰证书(CERT-UA)发布了一项竞选活动的细节,该活动与被追踪为Scarab的疑似汉语威胁演员联系起来。

乌克兰证书(CERT-UA)发布了有关追踪恶意活动的技术细节UAC-0026,与中国关联的Scanab相关联的Sentinellabs apt。Scarab Apt于2015年首次发现,但专家认为它自至少2012年以来一直活跃,对世界各地的少数个人进行手术攻击,包括俄罗斯和美国。

Scanab多年来一直在多年来进行多年的网络激励运动,它雇用了定制的后门塞隆顿和后面的头部植入物。

专家指出,UAC-0026活动是中国威胁演员的第一个公开示例瞄准乌克兰以来入侵开始。

攻击者通过使用武器化文件通过网络钓鱼消息传播他们的恶意软件部署HEADERTIP恶意软件。这些消息使用RAR-Archive标题,以保存俄罗斯联邦军队的刑事诉讼的视频录制.RAR,其中包含具有相同名称的可执行文件。Cert-UA发现的救生文件模仿乌克兰的国家警察。

运行可执行文件将创建一个Lure文档#2163_02_33-2022.pdf(适用于国家警察的一封信乌克兰),以及带有MZ Header OfficeCleaner.DAT的DLL文件,并删除了BAT文件officeCleaner。.bat,它将确保形成正确的DLL文件,运行它并写入Windows注册表以确保一致性。阅读CERT-UA发布的咨询。上述DLL文件被归类为恶意程序6,主要目的是下载和执行其他DLL文件。

Scarab APT
sentinellab专家分析了Scarab和Sev所使用的基础设施CERT-UA共享的Headertip恶意软件的销量。
我们以高信心评估,最近归因于UAC-0026的CERT-UA活动是Scarab Apt组。读取由Sentinellabs发布的分析。可以通过设计恶意软件样本和它们的关联装载机来进行初始链路,从至少2020年开始。可以通过重用与组的恶意软件系列之间的演员 - 唯一的基础设施来识别进一步的关系:

508D106EA0A71F2FD360FDA518E1E533E7E584ED(头部 - 2021)121EA06F391D6B792B3E697191D69DC500436604(Scieron 2018)Dynamic.DDNS [。] Mobi(Rebused C2 Server)

与Lure文档相关的元数据的分析表明作者正在使用中文语言设置中的Windows操作系统。

威胁演员采用的射灯样本是用C ++编写的32位DLL文件。专家报告说,Headertip恶意软件实现了后门能力,也可以使用■第一阶段恶意软件。

结论我们的评估归因于归因于UAC-0026的最近CERT-UA活动是Scarab Apt组,代表了来自非俄罗斯人的第一次公开报告的乌克兰攻击。总结哨兵。利用宏观文档的Headertip恶意软件和相关的网络钓鱼活动似乎是一级的感染尝试。此时,威胁演员的进一步目标和动机仍然不清楚。

- END -

看更多