一 事件概要
近期,綠盟科技伏影實驗室捕獲到了大量針對烏克蘭的釣魚文件攻擊活動,關聯惡意文件包括pdf、doc、cpl、lnk等類型。經過分析,我們確認這一系列釣魚活動均來自APT組織Lorec53(中文名稱:洛瑞熊)。該組織在2021年底至2022年2月的期間內,使用多種攻擊手法,對烏克蘭國防部、財政部、大使館、國企、公眾醫療設施等關鍵國家機構投遞多種釣魚文件,進行以收集組織人員信息為主的網絡攻擊活動。
二 組織背景
Lorec53(中文名稱:洛瑞熊)是由綠盟科技伏影實驗室首先確認并命名的新型APT組織,活躍在東歐地區。烏克蘭計算機應急響應中心在近期的報告(https://cert.gov.ua/article/18419)中將該組織編號為UAC-0056。綠盟科技伏影實驗室發現該組織可捕獲的間諜木馬投放活動最早出現在2020年,并在2021年初開始組織針對烏克蘭與格魯吉亞的大規模網絡間諜攻擊活動。
Lorec53在攻擊工具、域名注冊信息、資產位置等方面暴露了大量俄語黑客特征,其攻擊目標也與俄羅斯的國家利益關系密切。研究Lorec53的發展軌跡發現,該組織疑似受到其他高級間諜組織的雇傭,通過承接國家級間諜攻擊業務或出售政府部門機密文檔來獲取收益。
Lorec53有較強的滲透能力,攻擊手法多變,能夠組織大規模高密度的釣魚攻擊活動,還善于借鑒其他組織的社會工程學技術與網絡資源管理方式。
目前,受Lorec53組織攻擊影響的受害者包括伊朗國家銀行用戶,格魯吉亞防疫與衛生部門,烏克蘭國防部、總統府、內政部、邊防局等國家部門。
三 事件總覽
Lorec53本輪攻擊行動持續時間較長,攻擊目標十分廣泛,且攻擊手法帶有明顯的組織特征。
Lorec53在本輪攻擊中延續了以往的誘餌設計手法,構建了包括掩蓋部分信息的烏克蘭語政府文檔、帶有烏克蘭語標題和偽裝擴展名的快捷方式文件、帶有烏克蘭語文件名的cpl文件等釣魚誘餌,并偽裝成具有公信力的組織成員分發這些誘餌。
部分釣魚誘餌名稱與翻譯
這一系列釣魚攻擊活動中,Lorec53攻擊者主要使用了3237.site、stun.site、eumr.site三個域名,作為各類釣魚文件的下載服務器。site域是Lorec53的常用域之一。截至2月11日,部分URL仍可訪問并且能夠傳遞載荷文件,說明本輪攻擊活動仍在持續中。
Lorec53在本次一系列攻擊中,將收集到的烏克蘭關鍵設施郵箱直接寫入了誘餌文本中。根據Lorec53既往行為判斷,這樣的操作可能是用于增加誘餌的可信度。該特征也為調查人員確認攻擊覆蓋面提供了依據。
部分釣魚郵件中的郵件地址與對應組織
Lorec53這次依然使用了已知的木馬程序,包括LorecDocStealer(又名OutSteel)、LorecCPL、SaintBot,并盡可能地對這些木馬程序進行了殼封裝。
四 總結
本次發現的多起攻擊事件,都是Lorec53(洛瑞熊)在2021年底至2022年2月不同時間段內執行的針對烏克蘭政府部門、軍隊、國企的大規模網絡攻擊活動的一部分。這些攻擊事件主要目的仍為前期探測與信息收集,并且在各個階段都顯示了Lorec53的鮮明特征。
本次捕獲的釣魚誘餌表明,Lorec53在運營國家級網絡攻擊活動時,確實繼承了該組織的雇傭軍黑客行為特征。Lorec53會批量制作、定期調整釣魚誘餌的內容,搭配靈活的下載服務器地址和CnC地址,對暴露在外的烏克蘭關鍵機構的郵箱進行無差別的騷擾和攻擊。這種大規模投放的攻擊思路與Lorec53早期作為郵件僵尸網絡運營者的運營思路較為相似。
當前,針對烏克蘭地區的網絡間諜活動的活躍度明顯上升,綠盟科技伏影實驗室將持續關注Lorec53組織的活動進展。
