俄组织Fighting Ursa利用虚假汽车销售广告传播HeadLace后门

最近,Palo Alto Networks的科研人员揭露了有一个与俄罗斯有关联的威胁行动者------Fighting Ursa(亦称APT28、Fancy Bear或Sofacy)。该组织通过散布虚假的汽车销售广告,特别是针对外交官群体,散播名为HeadLace的后门恶意软件。

这一系列活动始于2024年3月,攻击者沿用了多年来对外交人员奏效的网络钓鱼手段,选取敏感主题吸引目标,并借助公共及免费平台承载攻击流程。

Unit42指出,早在2023年,另一类似威胁团队Cloaked Ursa也曾利用宝马汽车销售广告,对乌克兰外交使团发起攻击。

2023年6月,Insikt Group的研究人员观察到,隶属于俄罗斯GRU的APT28利用HeadLace信息窃取工具和凭证收集网页,对整个欧洲网络进行渗透。从2023年4月至12月,该APT组织分三阶段部署HeadLace,结合网络钓鱼、受侵的互联网服务及本地二进制文件等手段。这些凭证收集页面旨在瞄准乌克兰国防部、欧洲交通基础设施及阿塞拜疆某智库,通过在合法服务和被破坏的Ubiquiti路由器之间转发请求,绕过双因素认证和CAPTCHA挑战。

乌克兰国防部和欧洲铁路网络遭破坏后,攻击者手机里大量情报,企图影响战场策略及更广泛的军事布局。同时,他们对阿塞拜疆经济与社会发展中心的关注,也透露出其干预地区政策的意图。Insikt Group推测,这一系列行动旨在搅动地区及军事格局。

今年5月Fighting Ursa利用Webhook.site这一合法服务,通过托管含有恶意HTML的页面启动感染链。该页面与2024年3月14日提交至VirusTotal,内含用于甄别访问者是否使用Windows系统的脚本。非Windows用户则被导向ImgBB上的虚假图片。HTML页面还自动创建了一个ZIP压缩包供下载,包内藏有伪装成图片文件的Windows计算器可执行文件(实为HeadLace后门组件)、一个DLL文件及批处理脚本。诱饵是一张奥迪Q7 Quattro SUV的图片,谎称是"外交专用车辆出售",附带虚假联系方式以增强欺骗性。

ZIP包中的IMG-387470302099.jpg.exe文件负责加载WindowsCodecs.dll(HeadLace后门的一部分),并执行批处理脚本。该脚本解码并执行从Webhook.site上第二个URL下载的内容,随后将其保存为IMG387470302099.jpg在用户下载目录,移至%programdata%目录并更改扩展名为.cmd执行,最后自我删除以掩盖恶意行为痕迹。

专家预测,Fighting Ursa将继续在其攻击架构中融入合法网络服务。Recorded Future的最新报告也指出,该组织的基础设施持续演变与扩张。其他行业报告亦揭示了该组织在散布HeadLace恶意软件时采用的多样化诱饵策略。为防范此类攻击,建议限制对类似托管服务的访问权限,并加强对免费服务使用的审查力度,以识别潜在攻击媒介。

参考来源:

https://securityaffairs.com/166496/apt/russia-apt-headlace-malware.html

相关推荐
qyr67892 小时前
全球新能源汽车电机驱动器市场深度调研报告
大数据·网络·人工智能·自动化·汽车
Vaeeeeeee4 小时前
NVIDIA智能汽车技术实战营笔记——Alpamayo
自动驾驶·汽车·nvidia·nvidia智能汽车技术公开课·l4
苏州邦恩精密9 小时前
浙江蔡司3D扫描仪如何服务汽车及模具行业?
人工智能·科技·3d·自动化·汽车·制造
ws2019079 小时前
从零件到核心:AUTO TECH China 2026广州汽车零部件展的产业新叙事
大数据·人工智能·科技·汽车
微硬创新9 小时前
汽车制造产线协同:耐达讯PROFINETDeviceNet网关在机器人通信中的应用
人工智能·物联网·网络协议·自动化·汽车·制造·信息与通信
2501_9481069111 小时前
计算机毕业设计之jsp物业管理系统
java·大数据·开发语言·汽车·课程设计
高二的笔记12 小时前
Qt实现汽车仪表盘
汽车
卵男(章鱼)1 天前
GNSS模组概述与车载应用(超长8万字)
车载系统·汽车·硬件架构
卵男(章鱼)2 天前
第2章:核心通信技术(蜂窝 + V2X + GNSS)
车载系统·汽车
卵男(章鱼)2 天前
第4章:软件架构与SOA
linux·车载系统·汽车