首页 > 安全 > 正文

定制的Powershell老鼠用乌克兰危机作为诱饵来针对德国用户

最后更新 :2022.05.17

研究人员使用定制的Powershell大鼠发现了一个威胁性参与者,以德国用户的身份获得有关乌克兰危机的情报。

Malwarebytes专家发现了一项针对德国用户的运动,该运动针对定制的PowerShell Rat Targeting。威胁行为者试图通过利用乌克兰的当前局势作为诱饵来欺骗受害者打开武器化文件。

攻击者注册了一个诱饵站点,该网站是Collaboration-BW [。] de的德国域名。该网站托管了一份诱饵文档,名为2022-Q2-Bedrohungslage-ukraine,用于提供自定义恶意软件。该文档似乎包含有关乌克兰当前危机的信息。

下载页面包含蓝色下载按钮,并且页面上的文本声称该文档提供了有关乌克兰危机当前威胁的重要信息。根据该网站,该文档不断更新。

UP单击底部时,在受害者计算机上下载了邮政编码。压缩档案包含一个CHM文件,该文件由几个编译的HTML文件组成。如果受害者打开HTML文件,则在PowerShell运行base64命令时将显示错误消息。

删除命令后,我们可以看到它旨在使用Invoke-Expression(IEX)从Fake Baden-Württemberg网站下载下载的脚本。读取由Malwarebytes发布的分析。

下载的脚本在当前用户目录中创建了一个名为SecuriyHealthService的文件夹,并将两个文件放入其中:MonerationHealth.cmd和一个名为status.txt的脚本。.cmd文件非常简单,只需通过powershell执行status.txt即可。

Ukraine powershell RAT

MonerationHealth.CMD通过创建计划的任务来实现持久性,该任务每天都会在特定时间执行它。123]

Powershell Rat收集基本SYSTEM信息并将其淘汰到域kleinm [。] de。

脚本使用AEES-Contrypted函数称为  旁路。它是使用生成的密钥和执行前的IV解密的。

恶意代码为受害者构建了一个唯一的ID,并将数据作为JSON数据结构通过POST请求发送到C2服务器。

大鼠支持以下功能:

下载 (类型:D0WNL04D):从服务器上下载文件 upload  (type:upl04d)::将文件上传到服务器 loadps1  (类型:l04dps1):加载和执行PowerShell脚本命令

 (type:c0mm4nd):执行特定命令

]
将此活动归因于特定的参与者并不容易,并且没有可靠的指标来支持归因。仅基于动机,我们假设俄罗斯威胁行为者可能针对德国用户,但没有基础架构的明确连接或与已知TTP的相似之处,这种归因是薄弱的。总结一下包括妥协指标(IOC)的报告。
 请投票给安全事务,作为最佳欧洲网络安全博客作者奖2022奖2022投票给您的获奖者在Distogs Bestdogs中为我投票。个人(非商业)安全博客和Tech Whiz最佳技术博客以及您选择的其他人。

要提名,请访问: https://docs.google.com/forms/forms/forms/forms/d/e/1faipqlsfxxxr ticelyimz9QM9IIPUMQIMQIMQIMQIMQIMQICMQICIMQICIMQICIMQICIMQICIMQICIMQICIMQICIMQICIMQICIMQICIMQICIMQIMQICIMQICIMQICIMQICIMQICIMQic-IOM-NPQMOSFZNJXRBQRYJGCOW/viewForm  

- END -

看更多