2023年11月至2024年2月期间,俄罗斯APT28黑客精心策划大规模的网络钓鱼活动在运行的计算机上视窗。这种相当复杂的网络攻击旨在从受感染的机器中窃取个人数据。 IBM 研究人员在一项调查中揭露了这一操作。
首先,网络犯罪分子,也称为森林暴雪或花式熊,将向其目标发送欺诈性电子邮件。这些黑客专门从事间谍活动,并受俄罗斯授权,冒充来自包括欧洲在内的世界多个地区的政府组织和非政府组织。
另请阅读:为什么法国会遭受网络攻击?
一个被困的 PDF 和一个被剥削的经理
这些电子邮件附有PDF 文件作为附件。在该文档中,黑客泄露了转发到恶意网站的 URL 链接。这些站点旨在利用 Windows 操作系统内置的 Microsoft 工具,即“search-ms:”URI 协议处理程序和“search:”应用程序协议。
集成到 Windows 中的“search-ms:”在设备上启动个性化搜索,例如可以轻松查找文件或信息。 “搜索:”协议启用 Windows 桌面搜索应用程序,使您可以更轻松地在计算机上查找内容。网站或应用程序可以使用这些工具来改善用户体验,但在这种情况下,它们已被网络犯罪分子利用。
俄罗斯黑客实际上利用管理人员部署恶意软件。点击被困的 HTML 链接后,受害者发现自己在黑客的完全控制下在远程服务器上进行搜索。然后他们会要求目标将另一个 PDF 文件下载到他们的计算机上:
“一旦受害者访问武器化网站,他们就会看到诱饵文件的模糊图像。按钮邀请用户通过单击来显示文档。
正是这个文档隐藏了恶意软件。为了平息对目标的不信任,黑客有时会使用真实的官方文件由政府实体颁发。一旦部署到计算机上,病毒就会小心翼翼地从 PC 中窃取所有数据。根据 IBM 的调查,网络犯罪分子正在使用 Masepie、Oceanmap 和 Steelhook 等恶意软件。
这并不是黑客第一次使用微软工具来策划网络攻击。一度,网络犯罪分子劫持了“ms-appinstaller”协议,该协议允许在Windows设备上的安装文件中安装、更新或卸载应用程序,以传播勒索软件。回到墙边,微软倾向于停用该协议。
来源 : 国际商业机器公司
