详细内容或原文请订阅后点击阅览
与俄罗斯有关的 APT UAC-0063 使用 HATVIBE 恶意软件瞄准哈萨克斯坦
与俄罗斯有关的威胁行为者 UAC-0063 瞄准哈萨克斯坦,以收集中亚的经济和政治情报。 与俄罗斯有关的威胁行为者 UAC-0063 瞄准哈萨克斯坦,作为网络间谍活动的一部分,旨在收集中亚的经济和政治情报。 乌克兰计算机应急响应小组 (CERT-UA) 在 2023 年初首次详细介绍了 UAC-0063 的活动。 […]
来源:Security Affairs _恶意软件与俄罗斯有关的 APT UAC-0063 使用 HATVIBE 恶意软件瞄准哈萨克斯坦
与俄罗斯有关的 APT UAC-0063 使用 HATVIBE 恶意软件瞄准哈萨克斯坦
与俄罗斯有关的威胁行为者 UAC-0063 瞄准哈萨克斯坦,以收集中亚的经济和政治情报。
与俄罗斯有关的威胁行为者 UAC-0063 瞄准哈萨克斯坦,作为网络间谍活动的一部分,旨在收集中亚的经济和政治情报。
UAC-0063乌克兰计算机应急响应小组 (CERT-UA) 在 2023 年初首次详细介绍了 UAC-0063 的活动。
详细信息该组织针对乌克兰、中亚、东亚和欧洲的政府实体。该组织的武器库包括多个恶意软件家族,例如 HATVIBE、CHERRYSPY 和 STILLARCH(又名 DownEx)。
政府实体 HATVIBE在 2024 年 11 月 27 日对哈萨克斯坦进行国事访问期间,普京总统强调了与该国的关系。专家们观察到了一场网络间谍活动,该活动使用武器化的哈萨克斯坦外交部文件来收集有关中亚外交和经济关系的情报。Sekoia 将这些攻击归咎于与俄罗斯有关的 UAC-0063,与 APT28 重叠。
APT28在武器化文档中启用宏后,恶意代码会在 C:\Users\[USER]\AppData\Local\Temp\ 文件夹中创建第二个空白文档。该文档由第一个文档的 settings.xml 中存在的变量填充,并通过向其中添加恶意宏来武器化。
该宏启动一个隐藏的 Microsoft Word 实例来打开第二个恶意文档,该文档将在修改 AccessVBOM 注册表项后以隐秘的方式执行其宏。
报告HATVIBE 充当加载器,它下载 VBS 模块,从而部署 Python 后门 CHERRYSPY。
Double-Tap 活动与 Zebrocy 感染类似,使用 VBA 脚本、注册表修改和计划任务来实现持久性。 UAC-0063 将该活动与 GRU 的 APT28 组联系起来。
Zebrocy APT28 组。 @securityaffairs @securityaffairs Facebook Facebook (