俄罗斯情报机关支持的黑客以新代码追踪亚美尼亚大使馆网站

归因于俄罗斯威胁组织Turla的一个水坑操作中使用了两个以前未记录的恶意软件,一个下载程序和一个后门程序。 为了达到目标,黑客入侵了至少四个网站,其中两个属于亚美尼亚政府。这表明威胁者是在追捕政府官员和政客。

简单而有效的把戏

新工具是一个名为NetFlash的.NET恶意软件删除程序,以及一个名为PyFlash的基于Python的后门程序。它们将在受害者收到虚假的Adobe Flash更新通知后交付。 该运动至少自2019年初开始,至少有四个亚美尼亚网站受到未知方式感染。
  • armconsul [。] ru:俄罗斯亚美尼亚大使馆领事处
  • mnp.nkr [。] am:Artsakh共和国自然保护和自然资源部
  • aiisa [。] am:亚美尼亚国际和安全事务研究所
  • adgf [。] am:亚美尼亚存款担保基金
在获得该网站的访问权限后,黑客添加了一段恶意JavaScript代码,这些代码从外部来源“ skategirlchina [。] com”加载了一个旨在对访问者的网络浏览器进行指纹识别的脚本。 首次登陆受感染网站的访问者将获得一个永久性cookie,其代码可公开获得。这用于跟踪对该操作造成危害的站点将来的访问。 ESET的安全研究人员认为,Turla(又名Waterbug,WhiteBear,Venomous Bear,Snake)黑客对其目标非常挑剔,仅对少数访客进行了下一步攻击。 在攻击的第一阶段,受害者将看到iFrame中显示的虚假警告,用于更新Adobe Flash Player。ESET在今天的一份报告中说,如果访问者对此采取行动,他们将获得安装了Flash合法副本和Turla恶意软件变体的恶意可执行文件。
从2019年9月开始,从名为Skipper的后门到新的NetFlash恶意软件下载器的第一阶段有效负载似乎已在去年8月底和9月初进行了编译。 NetFlash的工作是从硬编码的URL检索第二阶段的PyFlash后门,并通过Windows计划的任务将其持久化在系统上。 新工具是一个名为NetFlash的.NET恶意软件删除程序,以及一个名为PyFlash的基于Python的后门程序。它们将在受害者收到虚假的Adobe Flash更新通知后交付。 俄罗斯驻华盛顿特区大使馆发言人未回应对ESET研究的置评请求。
0 0 vote
Article Rating

未经允许不得转载:x-sec » 俄罗斯情报机关支持的黑客以新代码追踪亚美尼亚大使馆网站

赞 (0) 打赏

This site uses Akismet to reduce spam. Learn how your comment data is processed.

0 Comments
Inline Feedbacks
View all comments

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏

0
Would love your thoughts, please comment.x
()
x