执行摘要
SentinelLABS与乌克兰数字安全实验室共同揭露了一起针对国际红十字会、挪威难民理事会、联合国儿童基金会等战争救援组织及乌克兰地区政府官员的协同鱼叉式网络钓鱼活动。攻击者冒充乌克兰总统办公室发送携带武器化PDF的邮件,诱使受害者通过虚假的Cloudflare验证码页面执行恶意软件。最终载荷是托管在俄罗斯基础设施上的WebSocket RAT,可实现远程命令执行、数据窃取和额外恶意软件部署。
背景
攻击始于2025年10月8日,武器化PDF文档(SHA-256: e8d0943042e34a37ae8d79aeb4f9a2fa07b4a37955af2b0cc0e232b79c2e72f3)嵌入了恶意链接。目标组织包括红十字国际委员会、联合国儿童基金会乌克兰办事处、挪威难民理事会等。
PhantomCaptcha攻击链
初始访问
武器化PDF中的链接指向zoomconference[.]app,该域名伪装成合法Zoom网站,实际托管在芬兰的VPS服务器(IP 193.233.23[.]81)。该基础设施仅在攻击当天活跃。
社交工程技术
受害者会看到伪造的Cloudflare DDoS保护页面,随后呈现模拟的reCaptcha挑战。点击复选框后弹出乌克兰语指令,要求用户:
- 点击"复制令牌"按钮
- 按Windows + R打开运行对话框
- 粘贴并执行命令
copyToken()函数包含PowerShell命令:
|
|
多阶段载荷投递
第一阶段:混淆下载器
初始载荷(SHA-256: 3324550964ec376e74155665765b1492ae1e3bdeb35d57f18ad9aaca64d50a44)是超过500KB的重度混淆PowerShell脚本,核心功能是从hxxps://bsnowcommunications[.]com/maintenance下载第二段载荷。
第二阶段:指纹收集和加密通信
第二段载荷(SHA-256: 4bc8cf031b2e521f2b9292ffd1aefc08b9c00dab119f9ec9f65219a0fbf0f566)收集系统信息:
- 计算机名
- 域信息
- 用户名
- 进程ID
- 系统UUID
数据使用硬编码密钥b3yTKRaP4RHKYQMf0gMd4fw1KNvBtv3l进行XOR加密,并通过HTTP GET请求发送。同时禁用PowerShell命令历史记录。
第三阶段:基于WebSocket的远程访问木马
最终载荷(SHA-256: 19bcf7ca3df4e54034b57ca924c9d9d178f4b0b8c2071a350e310dd645cd2b23)是轻量级PowerShell后门,连接到wss://bsnowcommunications[.]com:80的WebSocket服务器,支持两种命令类型:
cmd:使用iex同步执行的命令psh:使用PowerShell运行空间委托异步执行的PowerShell载荷
基础设施分析
主要C2域bsnowcommunications[.]com链接到IP 185.142.33[.]131,与面向公众的诱饵域不同,此后端C2基础设施保持活跃。攻击时间线显示:
- 2025年3月:注册goodhillsenterprise[.]com
- 2025年7月:在VirusTotal测试恶意PowerShell脚本
- 2025年9月:签发相关域名的SSL证书
- 2025年10月8日:发送恶意邮件,攻击域关闭
- 2025年10月9日:注册zoomconference[.]click域名
关联移动攻击
同一IP 193.233.23[.]81开始托管新域名princess-mens[.]click,链接到Android应用princess.apk。该应用收集:
- 通讯录数据
- 通话记录
- 已安装应用列表
- SIM卡信息
- 设备信息
- 网络信息
- 位置数据
- 图库图像
防御建议
- 用户培训:提高对"粘贴并运行"社交工程技术的认识
- 技术控制:启用PowerShell执行日志记录和监控
- 网络监控:监视WebSocket连接到新注册或可疑域名的行为
入侵指标
包含域名、IP地址和SHA-256哈希等详细指标。