一个被称为SectorJ149(也被认定为UAC-0050)的复杂亲俄网络犯罪组织已成为全球关键基础设施的重大威胁,该组织对多个国家的制造业、能源和半导体企业发动了针对性攻击。
该组织的活动标志着一种战略转变,即从传统的以经济利益为动机的网络犯罪,转向与俄罗斯在与乌克兰持续冲突期间更广泛的国家利益相符的地缘政治驱动型行动。
该威胁行为者展现出了极强的适应能力,他们从暗网市场和黑市购买定制恶意软件,并将这些工具整合到横跨多个大洲的综合攻击活动中。
近期调查显示,J149部门已成功渗透韩国、乌克兰及其他战略盟友的组织,尤其将重点放在涉及二次电池生产、半导体制造和关键能源基础设施的公司上。
NSHC ThreatRecon团队的分析师通过对多个攻击活动的关联分析,识别出了该组织复杂的方法,揭示了其在不同地理目标上一致的战术、技术和流程(TTPs)。
研究人员指出,2024年10月针对乌克兰保险公司和零售企业的攻击,与2024年11月针对韩国制造企业的后续行动之间存在显著相似之处,这表明该组织内部存在协调的行动规划和资源共享。
该组织的行动不仅限于传统的网络犯罪活动,还融入了符合俄罗斯战略目标的黑客行动主义元素。
这种演变反映出国家支持的行动与网络犯罪企业之间的界限日益模糊,尤其是在地缘政治紧张局势加剧的时期。
这些攻击成功获取了目标行业的敏感工业数据、知识产权和运营能力。
初步证据表明,SectorJ149的活动可能是俄罗斯更广泛战略的一部分,该战略旨在削弱盟国的工业能力,同时收集有关关键技术和基础设施的情报。
其时间选择和目标挑选显示出复杂的情报收集和战略规划能力,这超出了典型的网络犯罪活动。
攻击方法与基础设施利用
SectorJ149采用多阶段攻击方法,首先会精心制作钓鱼邮件,针对制造企业的高管和关键人员。
该组织展现出卓越的社会工程学能力,能根据特定公司的运营情况和行业术语定制邮件内容。
这些电子邮件通常包含压缩的CAB文件,这些文件被伪装成合法的商业文档,例如询价单或生产设施采购咨询。
执行后,恶意负载会部署Visual Basic脚本(VBS)恶意软件,该软件会执行经过混淆处理的PowerShell命令。
PowerShell的实现包含复杂的故障转移机制,会随机连接到Bitbucket或GitHub仓库,以下载采用隐写术隐藏的恶意软件组件。
这段代码片段展示了该团伙的技术成熟度:恶意软件会下载包含隐藏可执行代码的图像文件,然后使用带有特定分隔符的Base64解码技术对其进行提取。
最终的有效载荷采用进程空洞技术,将恶意代码注入到RegAsm.exe等合法的Windows进程中。
这种方法使恶意软件能够保持持久性,同时避开安全解决方案的检测。
该组织利用HKEY_CURRENT_USER项中的注册表修改来确保持续的系统访问权限,并根据操作需求同时配置了Run和RunOnce。
支持这些操作的基础设施利用了合法的云服务和开源平台,这使得安全团队的检测和溯源工作颇具挑战性。
这种复杂的方法展示了该团体对现代安全环境的理解,以及他们为适应当前威胁形势而调整传统攻击方法的能力。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
