Operation SkyCloak 针对国防部门部署后门
HackerNews 编译,转载请注明出处: 威胁行为者正利用钓鱼邮件分发带有恶意程序的附件,其攻击目标疑似俄罗斯和白俄罗斯的国防领域。 根据 Cyble 与 Seqrite 实验室的多份报告,该攻击行动旨在向已攻陷的主机植入一个持久化后门。该后门将 OpenSSH 与定制化的 Tor 隐藏服务结合使用,且通过 obfs4 技术对流量进行混淆处理。 Seqrite 将此活动命名为 Operation SkyCloak。据悉,钓鱼邮件会以军事文件相关内容作为诱饵,诱使收件人打开一个 ZIP 压缩包。该压缩包内含一个隐藏文件夹(其中包含另一个压缩文件),以及一个 Windows 快捷方式(LNK 文件);一旦打开该快捷方式,便会触发多阶段感染链。 安全研究员萨特维克・拉姆・普拉基与卡蒂克库马尔・吉瓦尼表示:“这些快捷方式会触发 PowerShell 命令,而这些命令构成了初始投放阶段;除 LNK 文件外,另一个压缩文件会被用于搭建完整的感染链。” 他们补充称,这些压缩文件已于 2025 年 10 月从白俄罗斯上传至 VirusTotal 平台。 其中一个中间模块是 PowerShell 加载器,它主要负责执行反分析检查以规避沙箱环境,同时会将一个 Tor 洋葱地址(“yuknkap4im65njr3tlprnpqwj4h7aal4hrn2tdieg75rpp6fx25hqbyd [.] onion”)写入文件 “hostname” 中,该文件路径为 “C:\Users < 用户名 >\AppData\Roaming\logicpro\socketExecutingLoggingIncrementalCompiler\”。 在反分析检查环节,恶意软件会验证两个条件:一是系统中近期存在的 LNK 文件数量大于或等于 10 个,二是当前进程数量大于或等于 50 个。若任一条件未满足,PowerShell 将立即终止执行。 Cyble 指出:“这些检查是恶意软件感知环境的机制。与真实用户工作站相比,沙箱环境通常用户生成的快捷方式更少,进程活动也更弱。” 一旦通过环境检查,脚本会显示存储在上述 “logicpro” 文件夹中的 PDF 诱饵文档,同时通过创建一个名为 “githubdesktopMaintenance” 的计划任务来实现持久化。该任务会在用户登录后自动运行,并于每天协调世界时(UTC)10:21 定期执行。 该计划任务旨在启动 “logicpro/githubdesktop.exe”,而此文件实则是 “sshd.exe” 的重命名版本 ——“sshd.exe” 是与 Windows 版 OpenSSH 相关联的合法可执行文件。这一操作能让威胁行为者搭建 SSH 服务,且该服务仅允许与存储在同一 “logicpro” 文件夹中的预部署授权密钥进行通信。 除通过 SFTP 启用文件传输功能外,恶意软件还会创建第二个计划任务,配置为执行 “logicpro/pinterest.exe”。这是一个定制化的 Tor 二进制文件,用于创建隐藏服务;该服务会通过 obfs4 混淆网络流量,与攻击者的.onion 地址通信。此外,它还会为远程桌面协议(RDP)、SSH、服务器消息块(SMB)等多个关键 Windows 服务配置端口转发,以便通过 Tor 网络访问系统资源。 一旦连接成功建立,恶意软件会先窃取系统信息,再通过 curl 命令发送一个唯一的.onion URL 主机名(用于标识已攻陷的系统)。当威胁行为者通过命令与控制(C2)信道接收到受害者的.onion URL 后,便能最终获得对已攻陷系统的远程访问权限。 目前尚不清楚该攻击行动的幕后主体,但两家安全厂商均表示,其特征与针对国防及政府领域、且与东欧相关的间谍活动相符。Cyble 以中等置信度评估认为,此次攻击与乌克兰计算机应急响应小组(CERT-UA)追踪的威胁行为者 “UAC-0125” 此前发起的行动,存在战术重叠。 该公司补充道:“攻击者通过隐蔽的 Tor 服务访问 SSH、RDP、SFTP 和 SMB,既能实现对系统的完全控制,又能隐藏自身身份。所有通信均通过预安装的加密密钥,定向到匿名地址进行传输。” 消息来源:thehackernews; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文