摘要: 网络安全研究人员披露了一起名为“PhantomCaptcha”的协同定向网络钓鱼活动的细节,该活动针对与乌克兰战争救援工作有关的组织,以投放一种使用 WebSocket 进行命令与控制(C2)的远程访问木马。 SentinelOne 今日发布的一份新报告称,此...
网络安全研究人员披露了一起名为“PhantomCaptcha”的协同定向网络钓鱼活动的细节,该活动针对与乌克兰战争救援工作有关的组织,以投放一种使用 WebSocket 进行命令与控制(C2)的远程访问木马。
SentinelOne 今日发布的一份新报告称,此次活动于 2025 年 10 月 8 日发生,目标是国际红十字会、挪威难民理事会、联合国儿童基金会乌克兰办事处、挪威难民理事会、欧洲委员会乌克兰损失登记处以及顿涅茨克、第聂伯罗彼得罗夫斯克、波尔塔瓦和米科拉伊夫斯克地区乌克兰地方政府的个人成员。
这些网络钓鱼邮件被发现冒充乌克兰总统办公室,附带一个带有陷阱的 PDF 文档,其中包含一个嵌入式链接。一旦点击该链接,受害者就会被重定向到一个假的 Zoom 网站(“zoomconference[.]app”),并被诱骗通过一个伪装成浏览器检查的 ClickFix 式假 Cloudflare 验证码页面运行恶意的 PowerShell 命令。
这个虚假的 Cloudflare 页面充当了中间人,通过与攻击者控制的服务器建立 WebSocket 连接,并传输由 JavaScript 生成的客户端 ID,如果 WebSocket 服务器用匹配的标识符作出响应,浏览器就会将受害者带到一个合法的、受密码保护的 Zoom 会议。
据怀疑,这种感染途径可能是为与受害者进行实时社交工程电话诈骗而预留的,不过 SentinelOne 表示,在其调查期间并未观察到威胁行为者启用这种攻击手段。
将此 PowerShell 命令粘贴到 Windows 运行对话框后执行,会触发一个混淆的下载器,其主要负责从远程服务器获取并执行第二阶段的有效载荷。此第二阶段恶意软件会对受感染主机进行侦察,并将其发送到同一服务器,然后该服务器会响应 PowerShell 远程访问木马。
安全研究员汤姆·黑格尔(Tom Hegel)表示:“最终的载荷是一个托管在俄罗斯基础设施上的 WebSocket 远程访问木马(RAT),它能够执行任意远程命令、窃取数据以及可能部署其他恶意软件。”“基于 WebSocket 的 RAT 是一个远程命令执行后门,实际上就是一个远程 shell,能让操作员任意访问主机。”
该恶意软件会连接到远程 WebSocket 服务器“wss://bsnowcommunications[.]com:80”,并配置为接收包含要使用 Invoke-Expression 执行的命令或运行 PowerShell 负载的 Base64 编码的 JSON 消息。执行的结果随后会被封装成 JSON 字符串,并通过 WebSocket 发送到服务器。
对 VirusTotal 提交内容的进一步分析表明,这份 8 页的武器化 PDF 文件是从多个地点上传的,包括乌克兰、印度、意大利和斯洛伐克,这很可能表明其目标范围广泛。
SentinelOne 指出,此次攻击活动的准备工作始于 2025 年 3 月 27 日,当时攻击者注册了“goodhillsenterprise[.]com”这一域名,该域名已被用于分发经过混淆处理的 PowerShell 恶意脚本。有趣的是,与“zoomconference[.]app”相关的基础设施仅在 10 月 8 日这一天处于活跃状态。
该公司指出,这表明“精心策划且对操作安全有坚定的承诺”,并补充说,其还发现了托管在“princess-mens[.]click”域名上的虚假应用程序,这些应用程序旨在从受感染的安卓设备中收集地理位置、联系人、通话记录、媒体文件、设备信息、已安装应用程序列表和其他数据。
此次攻击活动尚未归因于任何已知的威胁行为者或组织,不过 ClickFix 的使用与近期披露的由与俄罗斯有关联的 COLDRIVER 黑客组织发起的攻击活动中的使用情况重合。
SentinelOne 表示:“‘幽灵验证码’活动反映出一个能力极强的对手,其展现出广泛的行动规划、分隔式的基础设施以及精心设计的曝光控制。”
从初始基础设施注册到攻击执行之间间隔六个月,随后迅速关闭面向用户的域名,同时保持后端的指挥控制,这凸显出操作者既精通攻击手段,又善于躲避防御检测。
原文:https://thehackernews.com/2025/10/ukraine-aid-groups-targeted-through.html
翻译:游侠安全网(https://www.youxia.org)
