我们的全球研究与分析团队（GReAT）专家调查了ForumTroll APT组织发起的新一轮定向电子邮件攻击。与此前攻击组织公开邮箱不同，此次攻击者将目标对准了特定个人——来自俄罗斯大学及其他专门研究政治学、国际关系和全球经济的机构的科学家。该活动的目的是通过恶意软件感染受害者的计算机，以获取其远程访问权限。

恶意邮件外观

攻击者从仿冒科学电子图书馆eLibrary（其真实域名为elibrary.ru）的地址 support@e-library{.}wiki 发送电子邮件。邮件中包含指向某材料剽窃检查报告的个性化链接，按照攻击者的计划，该报告本应引起科学家的兴趣。

实际上，该链接从同一 e-library{.}wiki 域下载了一个压缩包。内部包含一个恶意的.lnk文件和一个 .Thumbs 目录，其中有一些图像，显然是为了绕过安全技术。压缩包和恶意链接文件的文件名中使用了受害者的全名。

如果受害者对邮件的合法性存疑并访问了 e-library{.}wiki 页面，他们将会看到一个略微过时的真实网站副本。

如果受害者点击恶意链接会发生什么

如果收到邮件的科学家点击了扩展名为.lnk的文件，其计算机上便会执行一个恶意的PowerShell脚本，从而触发感染链。结果，攻击者在受攻击的机器上安装了用于红队的商业框架Tuoni，为攻击者提供远程访问权限以及其他进一步危害系统的机会。此外，该恶意软件还使用了COM劫持来实现持久性，并下载并显示了一个诱饵PDF文件，该文件名也包含了受害者的全名。然而，文件本身并未个性化——它是一份格式为俄罗斯某剽窃检测系统的相当模糊的报告。

有趣的是，如果受害者尝试从不支持PowerShell的系统设备上打开恶意链接，系统会提示他们从Windows计算机上重试。关于此次攻击的更详细技术分析以及危害指标，可以在Securelist网站上的文章中查阅。

如何保持安全

此次攻击中使用的恶意软件已被卡巴斯基安全产品成功检测并拦截。我们建议不仅在员工用于访问互联网的所有设备上安装可靠的安全解决方案，还应在组织的邮件网关上安装，该网关可以在大多数通过电子邮件传播的威胁到达员工设备之前将其阻止。