乌克兰援助组织遭伪Zoom会议与武器化PDF攻击

网络安全研究人员披露了一项名为PhantomCaptcha的协同鱼叉式网络钓鱼活动细节，该活动针对与乌克兰战争救援工作相关的组织，旨在传播使用WebSocket进行命令与控制（C2）的远程访问木马。

该活动发生于2025年10月8日，目标包括国际红十字会、挪威难民理事会、联合国儿童基金会乌克兰办事处、欧洲理事会乌克兰损失登记处以及顿涅茨克、第聂伯罗彼得罗夫斯克、波尔塔瓦和米科拉伊夫地区的乌克兰区域政府管理机构的个别成员。SentinelOne在今天发布的新报告中指出。

钓鱼邮件伪装成乌克兰总统办公室，携带包含嵌入式链接的陷阱PDF文档。点击链接后，受害者被重定向至伪Zoom网站（“zoomconference[.]app”），并通过ClickFix风格的伪Cloudflare验证码页面，诱骗他们在浏览器检查的幌子下运行恶意PowerShell命令。

伪Cloudflare页面作为中间层，与攻击者控制的服务器建立WebSocket连接，并传输JavaScript生成的客户端ID。如果WebSocket服务器返回匹配的标识符，浏览器会将受害者引导至一个合法的、受密码保护的Zoom会议。

尽管SentinelOne表示在调查期间未观察到威胁行为者激活此攻击路径，但怀疑此感染路径可能保留用于与受害者进行实时社交工程呼叫。

将PowerShell命令粘贴到Windows运行对话框后执行，导致一个混淆的下载器，主要负责从远程服务器检索并执行第二阶段有效负载。第二阶段恶意软件对受感染主机进行侦察，并将信息发送至同一服务器，服务器随后响应PowerShell远程访问木马。

安全研究员Tom Hegel表示：“最终有效负载是托管在俄罗斯所属基础设施上的WebSocket RAT，支持任意远程命令执行、数据外泄以及潜在的其他恶意软件部署。基于WebSocket的RAT是一个远程命令执行后门，实质上是一个为操作者提供对主机任意访问的远程shell。”

该恶意软件连接到"wss://bsnowcommunications[.]com:80"的远程WebSocket服务器，并配置为接收Base64编码的JSON消息，其中包括使用Invoke-Expression执行的命令或运行PowerShell有效负载。执行结果随后打包成JSON字符串并通过WebSocket发送至服务器。

对VirusTotal提交的进一步分析确定，这份8页的武器化PDF已从多个位置上传，包括乌克兰、印度、意大利和斯洛伐克，可能表明目标广泛。

SentinelOne指出，该活动的准备工作始于2025年3月27日，攻击者注册了域名"goodhillsenterprise[.]com"，该域名已被用于提供混淆的PowerShell恶意软件脚本。有趣的是，与"zoomconference[.]app"相关的基础设施据称仅在10月8日活跃了一天。

公司指出，这表明“精密的规划和强烈的操作安全承诺”，并补充说，还发现了托管在"princess-mens[.]click"域名上的伪应用程序，旨在从受感染的Android设备收集地理位置、联系人、通话记录、媒体文件、设备信息、已安装应用程序列表和其他数据。

该活动尚未归因于任何已知的威胁行为者或组织，尽管ClickFix的使用与最近披露的与俄罗斯有关的COLDRIVER黑客组织发起的攻击重叠。

SentinelOne表示：“PhantomCaptcha活动反映了一个高度能力的对手，展示了广泛的操作规划、分隔的基础设施和谨慎的暴露控制。从初始基础设施注册到攻击执行的六个月期间，随后迅速撤下面向用户的域名，同时保持后端命令与控制，突显了操作者在进攻性技术和防御性检测规避方面都非常熟练。”