研究人員對ForumTroll APT組織發動的新針對性活動進行析,有別於之前對機構公共郵箱發動攻擊,這次的目標是政治家、國際關係和全球經濟的專家,目的是以惡意程式入侵受害者電腦,藉此能進行遙距存取。
冒充電子圖書館
攻擊者發送的電郵地址是support@e-library[.]wiki,是冒充科學電子圖書館,電郵含有個人化的連結到一份關於某些材料抄襲檢測的報告,似乎攻擊者認為這是科學家們感興趣的項目。實際上連結會從相同的e-library[.]wiki網域下載一個壓縮文件,內裡是一個惡意的.Ink檔案和.Thumbs目錄,內含一些圖片用來繞過保案偵測,受害者的全名將被用作壓縮檔和惡意連結檔案的名稱。如果受害者有疑惑而前往e-library[.]wiki查看,將會看見一個稍微過時的真實網站複製版。
點擊連結的後果
如果收到郵件的科學家點擊檔案內的.Ink檔案,惡意的PowerShell腳本便會在他們的電腦上執行,觸發連串的感染流程,結果攻擊者安裝Tuoni到被攻擊的裝置,讓他們能遙距存取以及有機會進一步入侵系統。另外,惡意程式使用了騎劫COM以達致持續性,並下載和顯示誘餌PDF檔案,名稱同樣包含受害者全名,檔案本身並非個人化設計,是格式相當模糊的報告,格式看似是俄羅斯某抄襲偵測系統。
如果受害者嘗試在一部不支持PowerShell的裝置打開連結,他們會被建議從Windows電郵再嘗試,更詳細的攻擊分析請瀏覽Securelist。
從mail gateway築起防禦
在攻擊中被利用的惡意程式已經能被Kaspersky的保安產品所偵測,同樣建議在公司的mail gateway築起防線,阻止大部份威脅送抵員工的郵箱。
資料來源:Kaspersky Blog
