研究人员发现针对俄罗斯政府实体的新恶意软件攻击

An unknown advanced persistent threat (APT) group has been linked to a series of spear-phishing attacks targeting Russian government entities since the onset of the Russo-Ukrainian war in late February 2022.

“运动[……]Malwarebytes在周二发布的一份技术报告中表示：“这些病毒被设计为植入远程访问特洛伊木马（RAT），可用于监视其感染的计算机，并在其上远程运行命令。”

这家网络安全公司将这些攻击归咎于一个中国黑客组织，并称其为深层熊猫（Deep Panda），其使用的RAT和Sakula RAT恶意软件存在基础设施重叠。

这些攻击链虽然在两个月的时间里利用了不同的诱饵，但除了源代码中的微小差异外，都使用了相同的恶意软件。

据称，这场战役于2月26日左右开始，也就是俄罗斯军事入侵乌克兰几天后，邮件以乌克兰交互式地图（“interactive\u map\u UA.exe”）的名义分发RAT。

这一事态发展再次表明，威胁行为体有能力根据世界事件调整攻击，利用最相关和最新的诱饵，最大限度地增加成功的机会。

三月初的第二波攻击主要针对国家控制的RT TV，涉及使用恶意软件修复Log4Shell漏洞，该漏洞在2021下半年成为头条新闻。

除了以压缩TAR文件的形式包含修补程序外，该电子邮件还附带了一份PDF文档，其中包含安装修补程序的说明，并列出了要遵循的最佳安全做法，包括启用双因素身份验证、使用卡巴斯基防病毒以及避免打开或回复可疑电子邮件。

为了进一步提高电子邮件的真实性，该文档还包含一个指向不相关文件的VirusTotal URL，以给人留下Log4j补丁文件不是恶意文件的印象。

此外，该电子邮件还提供指向攻击者控制的域“rostec[.”的链接“数字”以及在Facebook和Instagram上创建的指向俄罗斯国防集团的欺诈性个人资料。

研究人员说：“有趣的是，这名威胁行为人于2021 6月创建了Facebook页面，比这场运动使用的时间早了九个月。”。“这可能是为了吸引关注者，让页面看起来更合法，这表明APT集团早在入侵乌克兰之前就计划了这场运动。”

随后的第三次攻击使用了另一个恶意可执行文件—；这次是“build\u rosteh4.exe—；试图将恶意软件伪装成Rostec的。

最后，在2022年4月中旬，攻击者转向沙特阿美石油天然气公司的一个以工作为主题的网络钓鱼诱饵，该诱饵是一个武器化的Microsoft Word文档，充当感染序列的触发器，用于部署老鼠。

DLL有效负载使用各种高级技巧来阻止分析，包括控制流展平和字符串混淆，同时还结合了允许它从远程服务器发送到受感染主机的任意文件并执行命令行指令的功能。

该调查结果与Check Point的调查结果密切相关。Check Point的调查结果显示，一个与大熊猫和野马熊猫有关联的中国对抗性集体针对至少两个位于俄罗斯的研究机构，该研究机构之前有一个名为Spinner的非法后门。