Sandworm APT 利用 LNK 漏洞和基于 Tor obfs4 的 OpenSSH 后门攻击白俄罗斯军方
💡
原文中文,约2500字,阅读约需6分钟。
📝
内容提要
网络安全研究人员发现,攻击者通过伪装成军事文档的恶意ZIP包,成功入侵白俄罗斯特种作战司令部的无人机操作系统,采用高级反分析技术建立持久的远程访问通道,显示出针对军事情报的收集行动。
🎯
关键要点
- 网络安全研究人员发现攻击者通过伪装成军事文档的恶意ZIP包入侵白俄罗斯特种作战司令部的无人机操作系统。
- 攻击者使用高级反分析技术和Tor隐藏通信基础设施建立持久的远程访问通道。
- 感染始于名为'TLG离职再培训通知.pdf'的ZIP压缩包,实际为恶意的Windows LNK快捷方式。
- 恶意软件通过混淆的PowerShell命令提取隐藏的载荷和配置文件,采用多阶段攻击技术。
- 诱饵PDF文档与军事再培训和无人机飞行程序相关,显示出针对白俄罗斯军事部门的特定攻击策略。
- 恶意软件创建计划任务以确保持久性,并启动两个独立任务:OpenSSH部署和Tor网络桥接。
- OpenSSH配置为仅允许基于RSA密钥的身份验证,攻击者可通过此执行远程命令和文件传输。
- 恶意软件使用obfs4桥接将Tor流量伪装成正常网络活动,增加检测难度。
- 攻击者通过curl命令发送受害者信息,获得全面远程控制能力。
- 此次攻击与Sandworm(APT44/UAC-0125)的'Army+'攻击活动存在高度相似性,显示出技术改进。
- Cyble评估此次行动是针对东欧国防部门的持续间谍活动,可能旨在收集无人机和通信情报。
➡️
