一、事件概要
近期,綠盟科技伏影實驗室捕獲到了大量針對烏克蘭的釣魚檔案攻擊活動,關聯惡意檔案包括pdf、doc、cpl、lnk等型別。經過分析,我們確認這一系列釣魚活動均來自APT組織Lorec53(中文名稱:洛瑞熊)。該組織在2021年底至2022年2月的期間內,使用多種攻擊手法,對烏克蘭國防部、財政部、大使館、國企、公眾醫療設施等關鍵國家機構投遞多種釣魚檔案,進行以收集組織人員資訊為主的網路攻擊活動。
二、織背景
Lorec53(中文名稱:洛瑞熊)是由綠盟科技伏影實驗室首先確認並命名的新型APT組織,活躍在東歐地區。烏克蘭計算機應急響應中心在近期的報告(https://cert.gov.ua/article/18419)中將該組織編號為UAC-0056。綠盟科技伏影實驗室發現該組織可捕獲的間諜木馬投放活動最早出現在2020年,並在2021年初開始組織針對烏克蘭與喬治亞的大規模網路間諜攻擊活動。
Lorec53在攻擊工具、域名註冊資訊、資產位置等方面暴露了大量俄語駭客特徵,其攻擊目標也與俄羅斯的國家利益關係密切。研究Lorec53的發展軌跡發現,該組織疑似受到其他高階間諜組織的僱傭,透過承接國家級間諜攻擊業務或出售政府部門機密文件來獲取收益。
Lorec53有較強的滲透能力,攻擊手法多變,能夠組織大規模高密度的釣魚攻擊活動,還善於借鑑其他組織的社會工程學技術與網路資源管理方式。
目前,受Lorec53組織攻擊影響的受害者包括伊朗國家銀行使用者、喬治亞防疫與衛生部門、烏克蘭國防部、總統府、內政部、邊防局等國家部門。
三、事件總覽
Lorec53本輪攻擊行動持續時間較長,攻擊目標十分廣泛,且攻擊手法帶有明顯的組織特徵。
Lorec53在本輪攻擊中延續了以往的誘餌設計手法,構建了包括掩蓋部分資訊的烏克蘭語政府文件、帶有烏克蘭語標題和偽裝副檔名的快捷方式檔案、帶有烏克蘭語檔名的cpl檔案等釣魚誘餌,並偽裝成具有公信力的組織成員分發這些誘餌。
部分釣魚誘餌名稱與翻譯
這一系列釣魚攻擊活動中,Lorec53攻擊者主要使用了3237.site、stun.site、eumr.site三個域名,作為各類釣魚檔案的下載伺服器。site域是Lorec53的常用域之一。截至2月11日,部分URL仍可訪問並且能夠傳遞載荷檔案,說明本輪攻擊活動仍在持續中。
Lorec53在本次一系列攻擊中,將收集到的烏克蘭關鍵設施郵箱直接寫入了誘餌文字中。根據Lorec53既往行為判斷,這樣的操作可能是用於增加誘餌的可信度。該特徵也為調查人員確認攻擊覆蓋面提供了依據。
部分釣魚郵件中的郵件地址與對應組織
Lorec53這次依然使用了已知的木馬程式,包括LorecDocStealer(又名OutSteel)、LorecCPL、SaintBot,並儘可能地對這些木馬程式進行了殼封裝。
四、總結
本次發現的多起攻擊事件,都是Lorec53(洛瑞熊)在2021年底至2022年2月不同時間段內執行的針對烏克蘭政府部門、軍隊、國企的大規模網路攻擊活動的一部分。這些攻擊事件主要目的仍為前期探測與資訊收集,並且在各個階段都顯示了Lorec53的鮮明特徵。
本次捕獲的釣魚誘餌表明,Lorec53在運營國家級網路攻擊活動時,確實繼承了該組織的僱傭軍駭客行為特徵。Lorec53會批次製作、定期調整釣魚誘餌的內容,搭配靈活的下載伺服器地址和CnC地址,對暴露在外的烏克蘭關鍵機構的郵箱進行無差別的騷擾和攻擊。這種大規模投放的攻擊思路與Lorec53早期作為郵件殭屍網路運營者的運營思路較為相似。
當前,針對烏克蘭地區的網路間諜活動的活躍度明顯上升,綠盟科技伏影實驗室將持續關注Lorec53組織的活動進展。
關於綠盟科技伏影實驗室
研究目標包括Botnet、APT高階威脅,DDoS對抗,WEB對抗,流行服務系統脆弱利用威脅、身份認證威脅,數字資產威脅,黑色產業威脅及新興威脅。透過掌控現網威脅來識別風險,緩解威脅傷害,為威脅對抗提供決策支撐。