乌克兰政府遭受威胁行为者IcedID恶意软件攻击

一、概述

乌克兰计算机应急响应小组 (CERT-UA) 发现了新的网络钓鱼活动，旨在用IcedID恶意软件感染乌克兰政府机构的系统。

二、IcedID出现

2017年，IcedID银行木马首次在安全领域出现，且与Gozi、Zeus和Dridex等其他金融威胁类似。IBM X-Force的专家最初在对其进行分析时发现，IcedID银行木马并没有借用其他银行恶意软件的代码，但它却实现了类似的功能，包括执行浏览器中间人攻击，以及拦截和窃取受害者的财务信息。

三、威胁事件

攻击者在网络钓鱼消息使用了名为“Mobilization Register.xls”的Excel文档。当用户打开文档并启用嵌入式宏后，该文档将开始下载并运行可执行文件，这个可执行文件可用于解密并运行GzipLoader，GzipLoader可作为IcedID恶意软件的广告加载器。用户下载的EXE文件将解密并运行计算机上的GzipLoader恶意软件，然后该恶意软件将开始下载、解密和运行IcedID恶意软件。IcedID恶意软件（也称为BankBot）属于“银行木马”类，除了造成常规的攻击影响以外，还可以执行身份验证数据窃取。

四、敲响警钟

有关专家认为此次网络钓鱼攻击与名为UAC-0041的攻击者有关。攻击者正试图通过传播IcedID恶意软件访问政府网络并收集情报。该恶意软件还可以用于加载额外的恶意有效载荷以进一步危害目标组织。CERT-UA还发布了独立的安全公告警告称，攻击者正利用Zimbra Collaboration Suite中的跨站脚本漏洞(CVE-2018-6882)攻击政府组织。NIST NVD（美国国家漏洞数据库）中对于该漏洞的描述为：“Zimbra Collaboration Suite (ZCS) 8.1 Patch 1之前版本和8.8.7之前的8.8.x版本中的ZmMailMsgView.getAttachmentLinkHtml函数存在跨站脚本漏洞，该漏洞允许远程攻击者通过电子邮件附件中的内容位置头注入任意web脚本或HTML。”在CERT-UA监测到的网络间谍活动中，攻击者利用网络钓鱼信息执行攻击，钓鱼信息的主题为“Volodymyr Zelenskyy向乌克兰武装部队和乌克兰阵亡英雄家属颁发金星勋章”。

附录A - 银行木马

银行木马是一款以针对金融客户为目标，通过各种方式窃取客户网上银行凭证信息的恶意软件，最近几年一些银行木马不仅仅传播自己，还充当勒索病毒的分销商，传播勒索病毒。银行木马已经成为全球金融行业最大的安全威胁之一，可以预见，随着未来数字货币的发展，这些银行木马后期会转向盗取客户的数字货币账号等信息。对于个人而言，如果邮件、手机出现不明链接、弹窗、提示，不要点击，将风险降低到最小。

附录B - 参考链接

https://securityaffairs.co/wordpress/130250/cyber-warfare-2/icedid-against-ukraine-gov-agencies.html

声明：本文来自绿盟科技威胁情报，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。