最近,思科Talos研究人员发现了针对乌克兰IT军队的恶意软件活动。这个名为Liberator的工具是亲乌克兰黑客用来攻击俄罗斯宣传网站的常用工具。俄罗斯入侵乌克兰后,乌克兰数字转型部长米哈伊洛·费多罗夫呼吁对俄罗斯采取行动。他试图组建一支由志愿军组成的IT军队,对俄罗斯发动大规模进攻。用于协调这支IT军队的网络攻击的电报频道。投机取巧的网络犯罪分子正试图通过提供恶意软件来利用那些亲乌克兰人,这些恶意软件表面上是针对俄罗斯机构的攻击性网络工具,一旦下载,它就会感染毫无戒心的用户,而不是那种会对俄罗斯构成威胁的工具思考。“我们观察到一个案例,威胁行为者在Telegram上提供分布式拒绝服务(DDoS)工具,它声称可以用来攻击俄罗斯网站,但下载的文件实际上是一个窃取信息的恶意程序,”思科说。最初的Liberator工具是由一个名为disBalancer的组织开发的,主要用于攻击俄罗斯的宣传网站,现在被感染的Liberator工具正在Telegram上做广告。该工具的开发是为了让非技术人员能够轻松地对从服务器获取的俄罗斯网站列表发起攻击。该活动使用了一个伪装成Disbalancer.exe工具的投放器,该工具受Windows可执行文件的ASProtect包装器保护。一旦恶意软件进入受害者的系统,它就会执行反调试检查,然后按照进程注入步骤将Phoenix信息窃取程序加载到内存中。从思科的报告来看,如果研究人员试图调试恶意软件的执行,它会显示一个常见的错误。执行反调试检查后,恶意软件会启动包含.NET框架的Regsvcs.exe程序。在这种情况下,regsvcs.exe不再是一个二进制文件,它不仅被注入了恶意代码,还包含了Phoenix信息窃取器。这个隐蔽的工具将获得这支IT军队手中的大量数据,包括网络浏览器数据、VPN工具、Discord、Steam和加密货币钱包。收集的数据被发送到端口6666上的远程IP地址(95[.]142[.]46[.]35)。思科专家认为这是一个投机取巧的举动,因为自2021年11月以来,同一个IP地址一直在分发Phoenix。在报告的结论中,思科专家观察到许多攻击者都厌倦了在系统上安装恶意软件,而乌克兰战争是没有例外。同时,他们还发现了网络犯罪分子分发的信息窃取间谍软件,这些网络犯罪分子可能是国家支持的威胁行为者或为国家工作的私人团体。最后,专家还提醒用户,要警惕安装来源不明的软件,尤其是放在网络随机聊天室的软件。参考来源:https://securityaffairs.co/wordpress/128894/cyber-crime/fake-ddos-tool-ukraines-it-army.html
