黑客组织InvisiMole对乌克兰国家机构发起钓鱼攻击

近日，乌克兰计算机紧急事件响应政府小组(CERT-UA)警告称，UAC-0035组织（又名InvisiMole）针对乌克兰国家机构发起了鱼叉式网络钓鱼攻击。钓鱼邮件使用名为“501_25_103.zip”的存档，其中包含一个快捷方式文件。打开LNK文件后，将下载并执行一个HTA文件，文件包含一个VBScript代码，用于获取和解码诱饵文件和恶意程序LoadEdge后门。

然后，后门程序会联系命令和控制(C2)服务器，下载并执行其他恶意负载，包括TunnelMole、滥用DNS协议为恶意目的建立隧道的恶意软件以及RC2FM和RC2CL。LoadEdge后门通过Windows注册表保持持久性。

乌克兰的CERT还分享了近期攻击的入侵指标(IoC)

UAC-0035（InvisiMole）组织

InvisiMole组织是与俄罗斯有关的威胁组织，从2013年以来一直保持活跃，虽然ESET专家将该组织与Gamaredon俄罗斯APT组织联系起来，但这两个组织很可能是独立的。

该组织于2018年首次被ESET发现，当时专家们发现了一种复杂的间谍软件，被追踪为InvisiMole，在过去五年中用于俄罗斯和乌克兰的针对性攻击。在过去的活动中，该组织针对的是少数军事部门的知名组织和东欧的外交使团。