2025年夏末,网络安全研究人员发现了一场复杂的鱼叉式钓鱼攻击活动,该活动通过Signal即时通讯平台针对乌克兰军事人员。
这项代号为“幻影网络体素”的行动始于一份恶意Office文档,该文档通过私人Signal聊天发送,伪装成紧急行政表格或赔偿申请。
文档打开后,其嵌入的宏会在受害者的机器上植入一个隐蔽的DLL文件和一个PNG文件,启动多阶段感染链,最终安装Covenant的HTTP Grunt Stager和定制的C++后门程序BeardShell。
Sekoia的分析师指出,这些诱饵文件看似不起眼,却采用了真实的乌克兰军事术语格式,这是该行动取得成功的关键因素。
初始的Document_Open宏会验证Windows版本,然后利用CreateProcessW API在CLSID {2227A280-3AEA-1069-A2DE-08002B30309D}下注册一个恶意COM服务器,确保该DLL在每次用户登录时加载。
如果注册表项不存在,该宏会将prnfldr.dll放入ProgramData目录,将windows.png放入AppData,隐藏这两个文件后调用regsvr32.exe /n /i来执行DLL的安装程序。
一旦加载到explorer.exe中,第二阶段的DLL就会从每个PNG像素的最低有效位中提取出一段shellcode。
嵌入的外壳代码会初始化.NET公共语言运行时(CLR),并注入Covenant HTTP Grunt模块,该模块会与Koofr云API通信,创建名为“Keeping”和“Tansfering”的目录。混合加密保障了通信安全,而文件上传和下载则提供了隐蔽的命令与控制通道。
Sekoia的研究人员指出,每个被入侵的主机都由一个独特的基于GUID的文件夹表示,这表明可能有数十个受感染的系统。
与此同时,BeardShell——一个非托管C++后门程序——作为后续有效载荷出现,它利用icedrive服务进行命令与控制通信。其入口点ServiceMain会执行反分析检查,然后生成一个基于硬件配置文件的标识符,用于云存储上的目录命名。
一旦激活,BeardShell会通过嵌入式CLR初始化程序实例化PowerShell会话,并执行JSON格式的命令,例如:
// Create PowerShell instance (cmd_id=1)
{"task_id":0,"cmd_id":1,"data":{}}
// Execute SystemInfo (cmd_id=2)
{"task_id":0,"cmd_id":2,"data":{"id":0,"cmd":"SystemInfo"}}这些命令及其结果使用ChaCha20-Poly1305进行加密,伪装成良性图像文件(例如,.tiff头部),并上传回icedrive根目录。交替使用合法的云服务Koofr和icedrive,突显了攻击者对规避检测和保持操作灵活性的重视。
感染机制与持久性
这种攻击的核心是一种双管齐下的持久化方法。VBA宏的注册表修改确保代码在启动时执行,而第二阶段的DLL的COM劫持则确保对合法打印功能的无缝代理,从而掩盖其存在。
APT28通过将有效载荷交付分散在Office宏、COM劫持、隐写术shellcode提取和合法云API之间,实现了强大的多层立足点。
建议检测工程师监控高权限CLSID下的意外COM注册,并检查AppData目录中异常的PNG或TIFF文件,以寻找隐藏的有效载荷。
由于该活动对开源框架的复用以及新型隐写术的运用,防御者必须通过关联代码签名异常、注册表篡改和云API流量来进行调整,以拦截未来的入侵。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
