CERT-UA 报告称，乌克兰国家系统遭 WRECKSTEEL 恶意软件攻击

CERT-UA 报告称，乌克兰国家系统遭 WRECKSTEEL 恶意软件攻击

转至：thehackernews
编写：factor

CERT-UA 报告称，乌克兰国家系统遭 WRECKSTEEL 恶意软件攻击

2025 年 4 月 4 日 关键基础设施/恶意软件

乌克兰计算机应急反应小组 (CERT-UA) 透露，该国国家行政机构和关键基础设施遭受了至少三次网络攻击，目的是窃取敏感数据。

该机构表示，此次攻击活动涉及使用被入侵的电子邮件账户发送钓鱼邮件，其中包含指向 DropMeFiles 和 Google Drive 等合法服务的链接。在某些情况下，这些链接嵌入在 PDF 附件中。

这些数字信件声称乌克兰政府机构计划削减工资，试图引起一种虚假的紧迫感，并敦促收件人点击链接查看受影响员工名单。

访问这些链接会下载 Visual Basic 脚本 (VBS) 加载器，该加载器旨在获取和执行 PowerShell 脚本，该脚本能够收集与特定扩展名匹配的文件并捕获屏幕截图。

该活动归因于被跟踪为 UAC-0219 的威胁集群，据说至少从 2024 年秋季就开始了，早期迭代使用 EXE 二进制文件、VBS 窃取程序和名为 IrfanView 的合法图像编辑器软件的组合来实现其目标。

CERT-UA 已将 VBS 加载程序和 PowerShell 恶意软件命名为 WRECKSTEEL。这些攻击尚未被归咎于任何国家。

此次网络攻击是在发现一项网络钓鱼活动之后发生的，该活动针对与乌克兰持续冲突有关的国防和航空航天实体，通过虚假登录页面获取网络邮件凭证。

DomainTools 调查 (DTI) 团队表示：“攻击者似乎使用Mailu（一种可在 GitHub 上获取的开源邮件服务器软件）构建了该页面。”

“对涉及乌克兰国防和电信基础设施的欺骗组织的关注进一步表明了其收集与乌克兰冲突有关的情报的意图。值得注意的是，许多被欺骗的国防、航空航天和 IT 公司都为乌克兰与俄罗斯冲突中的军事行动提供了支持。”

自 2025 年初以来，我们还观察到与俄罗斯结盟的入侵套件（例如UAC-0050和UAC-0006）发起了以经济和间谍为动机的垃圾邮件活动，主要针对政府、国防、能源和非政府组织等各个垂直领域，以传播sLoad、Remcos RAT、NetSupport RAT和SmokeLoader等恶意软件家族。

卡巴斯基警告称，名为 Head Mare 的威胁行为者已将目标锁定在数家俄罗斯实体，其恶意软件名为PhantomPyramid，能够处理操作员通过命令与控制 (C2) 服务器发出的指令，以及下载和运行 MeshAgent 等其他有效载荷。

俄罗斯能源公司、工业企业以及电子元件供应商和开发商组织也成为了代号为Unicorn的威胁行为者发起的网络钓鱼攻击的受害者，该攻击释放了一种 VBS 木马，旨在从受感染主机中窃取文件和图像。

上个月底，SEQRITE 实验室透露，俄罗斯的学术、政府、航空航天和国防相关网络正成为武器化诱饵文件的攻击目标，这些诱饵文件很可能是通过网络钓鱼电子邮件发送的，这是一项名为“Operation HollowQuill”的活动的一部分。据信这些攻击始于 2024 年 12 月左右。

该活动利用社会工程策略，将带有恶意软件的 PDF 伪装成研究邀请和政府公报，以诱使毫无戒心的用户触发攻击链。

安全研究员 Subhajeet Singha表示：“威胁实体提供了一个包含 .NET 恶意软件投放器的恶意 RAR 文件，该文件进一步投放了基于 Golang 的 shellcode 加载器、合法的 OneDrive 应用程序和基于诱饵的 PDF，其中最终包含 Cobalt Strike 负载。 ”

转载