SentinelOne研究人员于2025年10月8日揭露了一场名为PhantomCaptcha的协同鱼叉式网络钓鱼活动。该活动以乌克兰战争援助组织为目标,包括红十字会、联合国儿童基金会、挪威难民理事会以及当地行政机构。威胁行为者使用伪造的电子邮件部署了一种基于WebSocket的远程访问木马,以建立命令与控制通道。
攻击者冒充乌克兰总统办公室发送邮件,并附带带有恶意PDF文档。这些文档诱使受害者通过一个名为“ClickFix”的仿冒Cloudflare验证码页面来执行恶意软件。
这些文档内含一个嵌入式链接,会将受害者重定向至伪装成Zoom的钓鱼网站(zoomconference[.]app),并诱骗他们运行恶意PowerShell命令。
SentinelOne发布的报告指出:"PhantomCaptcha行动采用精密的多阶段攻击链,旨在利用用户信任并规避传统安全防护措施。"
"当受害者打开带有恶意代码的PDF文档并点击内嵌链接后,会被引导至zoomconference[.]app域名。该域名伪装成正版Zoom网站,实则托管于芬兰的一台VPS服务器,其所有者是俄罗斯服务商KVMKA。"
PhantomCaptcha攻击行动投递了三阶段PowerShell负载:第一阶段使用高度混淆的大型下载脚本,仅用于获取第二阶段"维护"负载;第二阶段收集主机指纹信息,向C2服务器发送异或加密数据,禁用PowerShell历史记录后接收加密的第三阶段负载;第三阶段在内存中运行WebSocket远控程序,可接收Base64/JSON格式指令并执行,最终返回输出结果和系统标识符,并通过持久化重连机制为攻击者提供远程控制终端。
研究报告进一步指出:"最终负载是托管于俄罗斯所属基础设施的WebSocket远控程序,支持任意远程命令执行、数据窃取及附加恶意软件部署。这种基于WebSocket的远控程序实质是远程命令执行后门,能赋予攻击者对主机的完全控制权。"
研究人员发现,该攻击行动表现出中等程度的反侦察能力,在2025年10月8日持续活跃约24小时。其C2域名zoomconference.app托管于俄罗斯KVMKA公司的VPS服务器。调查人员随后关联到同一威胁组织的其他基础设施。尽管诱饵基础设施快速下线,后端C2服务器仍持续活跃,显示出模块化特征。根据SentinelOne报告,攻击者次日注册了新域名,暗示攻击仍在持续。
研究显示与PhantomCaptcha关联的恶意PDF文件上传源覆盖乌克兰、印度、意大利和斯洛伐克,表明攻击范围广泛。溯源调查发现攻击筹备始于2025年3月27日,攻击者当时注册域名用于托管混淆的PowerShell恶意软件。调查人员还发现仿冒Android应用的数据窃取程序。虽然归因尚未明确,但攻击手法的相似性暗示其与俄罗斯APT组织COLDRIVER存在潜在关联。
报告总结称:"PhantomCaptcha行动展现出攻击者卓越的行动规划能力、基础设施模块化管理和精准的暴露控制。从初期基础设施搭建到最终攻击实施跨越六个月,随后快速撤除前端域名同时维持后端C2通信,凸显攻击者兼具进攻技巧与防御规避的双重能力。"
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...