威胁演员用iceDid恶意软件瞄准乌克兰的GOV

最后更新 :2022.04.16

威胁演员是针对乌克兰政府机构的网络钓鱼攻击,提供了冰雹恶意软件。

乌克兰计算机应急响应团队(CERT-UA)发现了旨在与伊克兰伊克兰政府机构感染系统感染的新网络钓鱼活动恶意软件。

IceDid Banking Trojan于2017年首次出现在威胁景观中,它具有类似于Gozi,宙斯和Dridex等其他金融威胁的能力。首次分析的IBM X-Force的专家注意到威胁不会从其他银行恶意软件借用代码,但它实现了可比的功能,包括启动浏览器攻击,并从受害者拦截和侦察财务信息。

CERT-UA未发现的网络钓鱼消息使用武器化了名为Mobilization register.xls的Excel文档。

在打开文档并启用嵌入式宏时,它将下载并运行解密的可执行文件并运行Gziploader,该文件用于ICEDID恶意软件的AD加载器。

下载的exe文件将解密并运行计算机上的Gziploader恶意软件,从而又将下载,解密和运行ICEDID恶意软件。 这个恶意软件(也称为钞票)属于银行木工特洛伊木马的类,以及其他事情,提供盗窃数据。读取CERT-UA发布的分析。

IcedID

CRET-UA与作为UAC-0041被追踪的威胁演员相关联的网络钓鱼攻击。

攻击者正在试图传播ICEDID恶意软件,以获得政府网络并收集智力。恶意软件也可以用来加载额外的恶意有效载荷,以进一步损害目标组织。

乌克兰的证书(Cert-UA)还发表了一个单独的咨询,以便针对政府组织的威胁组织进行利用Zimbra Collaboration Suite中的XSS漏洞(CVE-2018-6882)。

在8.7修补程序1和8.8.x之前,ZMMailmsgView.getAtChmentLinkhtml函数中的“跨站点脚本(XSS)漏洞”中的ZMMAILMSGVIEW.GETTML功能8.8.7之前可能允许远程攻击者通过电子邮件附件中的内容 - 位置标题注入任意Web脚本或HTML。“读取 描述 由NIST NVD发布的这个问题投票选项表决对于安全事务,作为最佳欧洲网络安全博主奖2022投票给您的获奖者

投票给我在弱者最佳个人(非商业)安全博客和Tech Whiz最好的技术博客和您选择的其他人。

提名,请访问:

https://docs.google.com/forms/d/e/1faipqlsfxxriscimz9qm9iipumqic-iom-npqmosfznjxrbqryjgcow/view窗体[123

- END -

看更多