行动诱饵:监视分析工具包总结
主要发现:
- 行动诱饵(Prikormka)是一个针对乌克兰个人的网络监视行动,由一个组织发起,可能出于政治动机。
- 至少自2008年以来,Prikormka恶意软件家族就非常活跃,最初未引起广泛关注。
- 主要目标包括乌克兰东部的反政府分裂主义者、政府官员、政治家、记者等。
- 攻击者在乌克兰境内活动的可能性较高。
- Prikormka恶意软件在2015年感染率急剧增加。
技术分析:
- 发现过程:在2015年第三季度,ESET发现了Prikormka模块化恶意软件家族,研究显示它至少自2008年开始活跃。
- 命名来源:恶意软件的命名源自“groundbait”,意为鱼饵,用于吸引鱼类。
- 感染媒介:通过附带恶意可执行文件或下载链接至远程服务器上的恶意文件。
- 诱饵文档:用于分散受害者注意力,当点击伪装成文档的恶意附件时显示,以此欺骗受害者。
- Campaign ID:每个样本内嵌入的唯一标识符,用于识别特定感染尝试,帮助追踪目标。
目标定位:
- 主要针对乌克兰东部的分离主义者,涉及顿涅茨克人民共和国(DPR)和卢甘斯克人民共和国(LPR)。
- 使用社会工程技巧,如挑衅性或吸引人的文件名,以提高感染成功率。
- 诱饵文件内容涉及与自封状态相关的内部数据和文档,表明针对性。
技术细节:
- 滴管(dropper)作为初始组件,通过电子邮件附件传播,伪装成各种类型文档或自解压存档。
- 异常的.SCR文件扩展名检查机制允许恶意软件绕过部分安全措施。
- 模块化设计,包含用于持久性、通信、数据收集等功能的DLL模块。
- Prikormka使用DLL加载顺序劫持实现系统启动时自动运行。
活动范围与影响:
- 乌克兰是最主要的感染国,其次是俄罗斯和其他东欧国家。
- 影响范围广泛,包括政府机构、政治人物、记者等,尤其是乌克兰东部地区。
- 活动ID和Campaign ID有助于追踪特定攻击事件和目标。
结论:
Prikormka行动诱饵是针对乌克兰的高级持续威胁(APT),利用复杂的社交工程和隐蔽技术进行网络监视。通过深入的技术分析和详细的文件审查,研究人员揭示了其活动范围、目标特性以及操作手法,强调了跨区域合作对于应对复杂网络威胁的重要性。
