編輯搜圖

近期，思科Talos研究人員發(fā)現(xiàn)了針對烏克蘭IT軍隊的惡意軟件活動，威脅參與者正在使用一種模仿Liberator的竊取信息惡意軟件，而這種叫Liberator的工具是親烏克蘭的黑客用于攻擊俄羅斯宣傳網(wǎng)站的常用工具。

在俄羅斯入侵烏克蘭后，烏克蘭數(shù)字化轉(zhuǎn)型部長米哈伊洛·費多羅夫就呼吁對俄羅斯采取行動，他試圖建立一支由志愿者組成的IT軍隊對俄羅斯發(fā)動大規(guī)模攻勢，屆時也將有專門的電報頻道用以協(xié)調(diào)由這支IT軍隊發(fā)動的網(wǎng)絡攻擊。

在思科發(fā)布的報告中，一些投機取巧的網(wǎng)絡犯罪分子正試圖通過提供惡意軟件來利用那些支持烏克蘭的人，而這些惡意軟件表面上是針對俄羅斯機構的攻擊性網(wǎng)絡工具，可一旦下載后，這些文件會感染不知情用戶，而不是你以為的那種能對俄羅斯產(chǎn)生威脅的工具。思科表示：“我們觀察到一個案例，威脅行為者在Telegram上提供分布式拒絕服務(DDoS)工具，說是能用于攻擊俄羅斯網(wǎng)站，但下載的文件實際上是一個竊取信息的惡意程序?！?

起初的Liberator工具是由一個名為disBalancer的組織開發(fā)的，主要是為了用于對俄羅斯宣傳網(wǎng)站發(fā)起攻擊，而現(xiàn)在受污染的Liberator工具正在Telegram上做廣告。該工具的開發(fā)是為了讓非技術人員能夠輕松地對從服務器獲取的俄羅斯網(wǎng)站列表發(fā)起攻擊。

這次行動使用偽裝成Disbalancer.exe工具的投放器，該工具受Windows可執(zhí)行文件的 ASProtect 打包程序保護。一旦惡意軟件被投放到受害者的系統(tǒng)上，它就會執(zhí)行反調(diào)試檢查，然后它會按照進程注入步驟將Phoenix信息竊取程序加載到內(nèi)存中。

編輯搜圖

從思科的報告中顯示，如果研究人員試圖調(diào)試惡意軟件的執(zhí)行，它會顯示出一個普通的錯誤。該惡意軟件在執(zhí)行反調(diào)試檢查后，將啟動包含.NET框架的Regsvcs.exe程序。在這種情況下， regsvcs.exe就已經(jīng)不是一個二進制文件，它不但被注入了惡意代碼，更包括了Phoenix信息竊取程序。這種偽裝的工具將會借助這支IT軍隊之手獲取很多數(shù)據(jù)，包括 Web 瀏覽器數(shù)據(jù)、VPN 工具、Discord、Steam 和加密貨幣錢包。收集的數(shù)據(jù)被發(fā)送到端口6666上的遠程IP地址 (95[.]142[.]46[.]35)。

思科的專家認為這是一種投機取巧的行動，因為自2021年11月以來，同一IP地址一直在分發(fā) Phoenix。在報告的總結(jié)里，思科專家觀察到很多攻擊者用盡手段在系統(tǒng)是安裝惡意軟件，烏克蘭戰(zhàn)爭也不例外。同時，他們還發(fā)現(xiàn)一些網(wǎng)絡犯罪分子散布infostealer間諜軟件，這些人可能是由國家資助的威脅行為者，也可能是為了國家而工作的私人團體?！?最后，專家也提醒用戶警惕安裝來源不明的軟件，尤其是被放到互聯(lián)網(wǎng)上隨機聊天室的軟件。