2023年11月至2024年2月期間,俄羅斯APT28駭客精心策劃大規模的網路釣魚活動在運行的計算機上視窗。這種相當複雜的網路攻擊旨在從受感染的機器中竊取個人資料。 IBM 研究人員在一項調查中揭露了這項操作。
首先,網路犯罪分子,也稱為森林暴雪或花式熊,將向其目標發送詐騙電子郵件。這些駭客專門從事間諜活動,並受俄羅斯授權,冒充來自包括歐洲在內的世界多個地區的政府組織和非政府組織。
另請閱讀:為什麼法國會遭受網路攻擊?
一個被困的 PDF 和一個被剝削的經理
這些電子郵件附有PDF 檔案作為附件。在該文件中,駭客洩漏了轉發到惡意網站的 URL 連結。這些網站旨在利用 Windows 作業系統內建的 Microsoft 工具,即「search-ms:」URI 協定處理程序和「search:」應用程式協定。
整合到 Windows 中的「search-ms:」在裝置上啟動個人化搜索,例如可以輕鬆找到文件或資訊。 「搜尋:」協定啟用 Windows 桌面搜尋應用程序,讓您可以更輕鬆地在電腦上尋找內容。網站或應用程式可以使用這些工具來改善用戶體驗,但在這種情況下,它們已被網路犯罪分子利用。
俄羅斯駭客實際上利用管理人員部署惡意軟體。點擊被困的 HTML 連結後,受害者發現自己在駭客的完全控制下在遠端伺服器上進行搜尋。然後他們會要求目標將另一個 PDF 檔案下載到他們的電腦上:
「一旦受害者造訪武器化網站,他們就會看到誘餌檔案的模糊圖像。按鈕邀請使用者透過點擊來顯示文件。
正是這個文檔隱藏了惡意軟體。為了平息對目標的不信任,駭客有時會使用真實的官方文件由政府實體核發。一旦部署到電腦上,病毒就會小心翼翼地從 PC 中竊取所有資料。根據 IBM 的調查,網路犯罪分子正在使用 Masepie、Oceanmap 和 Steelhook 等惡意軟體。
這並不是駭客第一次使用微軟工具來策劃網路攻擊。一度,網路犯罪分子劫持了「ms-appinstaller」協議,該協議允許在Windows裝置上的安裝檔案中安裝、更新或卸載應用程序,以傳播勒索軟體。回到牆邊,微軟傾向於停用該協議。
來源 : 國際商業機器公司
