多年来,ESET 产品和研究一直在保护乌克兰 IT 基础设施。自 2022 年 2 月战争爆发以来,我们阻止并调查了与俄罗斯结盟的组织发起的大量袭击。我们还在 WeLiveSecurity 上发布了一些最有趣的发现:
IsaacWiper 和 HermeticWizard:针对乌克兰的新型雨刮器和蠕虫病毒
Industroyer2:工业家重装上阵
乌克兰雨刮器袭击事件持续一年
庇护伏击:犯罪软件还是网络间谍活动?
尽管我们的主要重点仍然是分析涉及恶意软件的威胁,但我们发现自己正在调查信息行动或心理行动(PSYOP),试图在乌克兰人和国外说乌克兰语的人心中引起疑虑。
Texonto托行动
Texonto 行动是一种虚假信息/心理战活动,使用垃圾邮件作为主要分发方法。令人惊讶的是,肇事者似乎并没有使用 Telegram 或虚假网站等常见渠道来传达他们的信息。我们检测到两波不同的浪潮,第一波发生在 2023 年 11 月,第二波发生在 2023 年 12 月底。电子邮件的内容涉及供暖中断、药品短缺和食品短缺,这些都是俄罗斯宣传的典型主题。
除了虚假信息活动之外,我们还于 2023 年 10 月检测到针对一家乌克兰国防公司的鱼叉式网络钓鱼活动,并于 2023 年 11 月针对一家欧盟机构进行鱼叉式网络钓鱼活动。这两项活动的目标都是窃取 Microsoft Office 365 帐户的凭据。由于这些心理战和网络钓鱼操作所使用的网络基础设施相似,我们非常有信心地将它们联系起来。
有趣的是,更多的关键点还揭示了属于 Texonto 行动一部分并与俄罗斯内部话题相关的域名,例如著名的俄罗斯反对派领导人阿列克谢·纳瓦尔尼 (Alexei Navalny),他入狱并于 2024 年 2 月 16 日去世。这意味着Texonto 行动可能包括针对俄罗斯持不同政见者和已故反对派领导人支持者的鱼叉式网络钓鱼或信息行动。这些域包括:
navalny-votes[.]net
navalny-votesmart[.]net
navalny-voting[.]net也许更奇怪的是,由攻击者操作并用于发送心理战电子邮件的电子邮件服务器在两周后被重复使用来发送典型的加拿大药房垃圾邮件。正如 2011 年的这篇博文所解释的那样,此类非法业务长期以来在俄罗斯网络犯罪社区中非常流行。
图 1 总结了 Texonto 行动的主要事件。
图 1. Texonto 行动的时间表
这种奇怪的间谍活动、信息操作和假制药只能让我们想起Callisto,这是一个著名的与俄罗斯结盟的网络间谍组织,美国司法部于 2023 年 12 月对其提起起诉。Callisto 的目标是政府官员、民众通过旨在模仿常见云提供商的鱼叉式网络钓鱼网站,在智囊团和军事相关组织中进行攻击。该组织还开展虚假信息行动,例如在 2019 年英国大选之前泄露文件。最后,以旧的网络基础设施为中心会导致虚假的制药域名,例如musclepharm[.]top或ukrpharma[.]ovh。
虽然 Texonto 行动和 Callisto 行动之间存在一些高级相似点,但我们尚未发现任何技术重叠,而且我们目前并未将 Texonto 行动归因于特定的威胁行为者。然而,考虑到 TTP、目标和信息的传播,我们高度确信此次行动是与俄罗斯结盟的组织所为。
网络钓鱼活动:2023 年 10 月至 11 月
乌克兰一家大型国防公司的员工于 2023 年 10 月收到一封网络钓鱼电子邮件,据称来自其 IT 部门。这些电子邮件是从它发送的。[redacted_company_name]@gmail.com,一个很可能专门为此活动创建的电子邮件地址,电子邮件主题是Запрошено утверждение:Планова інвентаризація(乌克兰语的机器翻译:请求批准:计划库存)。
邮件内容如下:
У період з 02 жовтня по 13 жовтня співробітники відділу інформаційних технологій проводять планову інвентаризацію та видалення поштових скриньок, що не використовуються。Якщо Ви плануєте використовувати свою поштову адресу ([redacted_address]@[redacted_company_name].com) у майбутньому, будь ласка, перейдіть на вебе - версію поштової скриньки за цим посиланням та увійдіть до системи, використовуючи свої облікові дані。 Жодних додаткових дій не потрібно, Ваша поштова скринька отримає статус "підтверджений" і не буде видалена під час план ової inнвентаризації ресурсів。Якщо ця поштова адреса не використовується Вами (або її використання не планується в майбутньому), то в цьому випад яку Вам не потрібно виконувати жодних дій - поштову скриньку буде видалено автоматично 13 жовтно 2023 року。 З повагою, Відділінформаційних технологій。
该电子邮件的机器翻译是:
10月2日至13日期间,信息技术部员工将对未使用的邮箱进行有计划的盘点和清除。如果您打算将来使用您的电子邮件地址 ([redacted_address]@[redacted_company_name].com),请通过此链接转到网页版邮箱并使用您的凭据登录。 无需执行任何其他操作,您的邮箱将收到“已确认”状态,并且不会在计划的资源清点期间被删除。如果您没有使用此电子邮件地址(或将来不打算使用它),那么在这种情况下您无需采取任何操作 - 该邮箱将于 2023 年 10 月 13 日自动删除。 此致, 信息技术系。
该电子邮件的目标是诱使目标点击 за цим посиланням(机器翻译:在此链接),这会导致https://login.microsoftidonline[.]com/common/oauth2/authorize?client_id=[redacted] ;redirect_uri=https%3a%2f%2foutlook.office365.com%2fowa%2f&resource=[redacted]&response_mode=form_post&response_type=code+id_token&scope=openid&msafed=1&msaredir=1&client- request-id=[已编辑]&protectedtoken=true&claims=%7b%22id_token%22%3a%7b%22xms_cc%22%3a%7b%22values%22%3a%5b%22CP1%22%5d%7d% 7d%7d&domain_hint=[编辑]&nonce=[编辑]&state=[编辑](部分编辑)。此 URL 指向恶意域login.microsoft id online[.]com。请注意,该域名与官方域名login.microsoftonline.com非常接近。
我们无法检索该网络钓鱼页面,但它很可能是一个虚假的 Microsoft 登录页面,旨在窃取目标的凭据。
对于属于 Texonto 行动的另一个域choicelive149200[.]com , URL https://choicelive149200[.]com/owa/auth/logon.aspx?replaceCurrent=1&url=https有两个 VirusTotal 提交(一个和两个) ://hbd.eupolcopps.eu/owa/。不幸的是,在分析时该网站已无法访问,但它很可能是eupolcopps.eu(欧盟巴勒斯坦警察支持协调办公室)的 Outlook 网页版/OWA 网络邮件的凭证网络钓鱼页面。请注意,我们没有看到电子邮件示例,只是看到提交给 VirusTotal 的 URL。
第一波心理战:2023 年 11 月
11 月 20日,我们检测到第一波带有 PDF 附件的虚假信息电子邮件,发送给乌克兰的至少数百个收件人。乌克兰政府、能源公司甚至个人的工作人员都收到了这些电子邮件。我们不知道电子邮件地址列表是如何构建的。
与之前描述的网络钓鱼活动相反,这些电子邮件的目的是在乌克兰人的心中播下怀疑的种子;例如,一封电子邮件称“今年冬天可能会出现供暖中断”。在这一特定浪潮中似乎没有任何恶意链接或恶意软件,只有虚假信息。
图 2 显示了一个电子邮件示例。其主题是 Рекомендації моз україни на тлі дефіциту ліків(乌克兰语机器翻译:乌克兰卫生部在药品短缺时的建议),电子邮件是从mozua@ua-minagro[.]com发送的。请注意,该地址可以在信封发件人和返回路径字段中看到。
ua-minagro[.]com是攻击者运营的域名,在此活动中专门用于发送虚假信息电子邮件。该域名伪装成乌克兰农业政策和食品部,其合法域名是minagro.gov.ua。
图 2. 虚假信息电子邮件
电子邮件附件是一个 PDF 文档,如图 3 所示。虽然它本身不是恶意的,但它也包含虚假信息。
图 3. PDF 附件
该文件滥用了乌克兰卫生部的标志,并解释说,由于战争,乌克兰出现药品短缺。它还说乌克兰政府拒绝从俄罗斯和白俄罗斯进口药品。在第二页上,他们解释了如何用植物代替一些药物。
值得注意的是,该电子邮件是从伪装为乌克兰农业政策和食品部的域发送的,而内容是关于药品短缺的,并且 PDF 滥用了乌克兰卫生部的徽标。这可能是攻击者的错误,或者至少表明他们并不关心所有细节。
除了ua-minagro[.]com之外,本波还使用了另外五个域来发送电子邮件:
uaminagro[.]com
minuaregion[.]org
minuaregionbecareful[.]com
uamtu[.]com
minagroua[.]orgminuaregion[.]org和minuaregionbecareful[.]com伪装成乌克兰临时占领领土重返社会部,其合法网站为https://minre.gov.ua/en/。
uamtu[.]com伪装成乌克兰社区、领土和基础设施发展部,其合法网站是https://mtu.gov.ua。
我们还确定了另外三种不同的电子邮件模板,每个模板都有不同的邮件正文和 PDF 附件。表 1 提供了总结。
表 1. 虚假信息电子邮件
相关PDF附件据称来自乌克兰地区部(见图4)和农业部(见图5)。
图 4. 据称来自地区部的 PDF
图 5. 据称来自农业部的 PDF
在最后一份据称来自农业部的文件中,他们建议吃“鸽子烩饭”,甚至还提供了活鸽子和煮熟的鸽子的照片……这表明这些文件是故意制作的,目的是为了激怒读者。
总体而言,这些信息与俄罗斯常见的宣传主题相符。他们试图让乌克兰人民相信,由于俄罗斯和乌克兰的战争,他们不会获得毒品、食物和暖气。
第二波心理战:2023 年 12 月
第一波浪潮发生后大约一个月,我们发现第二波心理战电子邮件活动不仅针对乌克兰人,还针对其他欧洲国家的人民。这些目标有些随机,从乌克兰政府到意大利制鞋商。由于所有电子邮件都是用乌克兰语写的,因此外国目标很可能是乌克兰语使用者。根据 ESET 遥测数据,在第二波浪潮中,有数百人收到了电子邮件。
我们在这一波中发现了两种不同的电子邮件模板。第一波于 12 月 25 日发送,如图 6 所示。对于第一波,电子邮件是从攻击者运营的电子邮件服务器(本例中为 infoattention[.]com)发送的。
图 6. 第二波的第一封电子邮件模板
电子邮件正文的机器翻译如下:
亲爱的乌克兰人,我们祝贺你们度过最温馨、最合家欢的节日——新年!我们真诚地希望您与家人一起庆祝 2024 年!愿您的家人和朋友永远不会生病!互相照顾!只有齐心协力,我们才能够将撒旦教徒从美国驱逐出去,并将他们的爪牙从原来的俄罗斯土地上驱逐出去!尽管有我们的敌人,让我们复兴基辅罗斯吧!让我们拯救人们的生命!来自俄罗斯的爱!节日快乐,亲爱的朋友们!
第二个电子邮件模板(如图 7 所示)于 2023 年 12 月 26日从不同的电子邮件服务器发送: stronginfo1[.]com。在此浪潮中,使用了另外两个电子邮件地址:
happyny@infonotifi[.]com
happyny@infonotification[.]com
图 7. 第二波的第二封电子邮件模板
电子邮件正文的机器翻译如下:
乌克兰兄弟新年快乐!在除夕夜,是时候记住拥有两对腿和手臂是多么美好了,但是如果您失去了其中一对,那么请不要沮丧 - 这意味着您将不会在一年中遇到俄罗斯士兵一条战壕。如果你的四肢都完好无损,那么我们不会羡慕你。我们建议您自己切掉或锯掉至少四个中的一个 - 几分钟的痛苦,但随后就是幸福的生活!乌克兰人,新年快乐!请记住,有时一个比两个更好!
虽然 2023 年 11 月的第一次心理战电子邮件活动准备得相当充分,特别创建的 PDF 文档在一定程度上令人信服,但第二次活动的信息更加基础和黑暗。第二个电子邮件模板尤其令人不安,攻击者建议人们截掉一条腿或手臂以避免军事部署。总体而言,它具有战时心理战的所有特征。
加拿大药房垃圾邮件:2024 年 1 月
令人惊讶的是,2023 年 12 月用于发送心理战电子邮件的域名之一infonotification[.]com于 2024 年 1 月 7日开始被用于发送加拿大药房垃圾邮件。
图 8 中提供了一个示例,链接重定向到假冒的加拿大药房网站onlinepharmacycenter[.]com。垃圾邮件活动规模适中(至少有数百封邮件),许多国家/地区的人们都收到了此类电子邮件。
图 8. 加拿大药房垃圾邮件
电子邮件是从happyny@infonotification[.]com发送的,并且已在电子邮件标头中进行了验证:
Return-Path:
Delivered-To: [redacted]
[redacted]
Received: from infonotification[.]com ([185.12.14[.]13])
by [redacted] with esmtps (TLS1.3:TLS_AES_256_GCM_SHA384:256)
[redacted]
Sun, 07 Jan 2024 12:39:10 +0000假冒加拿大药房垃圾邮件历来是由俄罗斯网络犯罪分子经营的业务。Brian Krebs等博主过去曾广泛报道过这一问题,尤其是在他的《垃圾邮件国家》一书中。
这些垃圾邮件活动之间的链接
虽然我们不知道为什么心理战活动的操作者决定重复使用他们的一台服务器来发送假药房垃圾邮件,但他们很可能意识到他们的基础设施已被检测到。因此,他们可能决定尝试将已经烧毁的基础设施货币化,要么是为了自己的利润,要么是为未来的间谍活动或心理战提供资金。图 9 总结了不同域和活动之间的链接。
图 9. Texonto 操作摘要
结论
自乌克兰战争爆发以来,Sandworm 等与俄罗斯结盟的组织一直忙于使用雨刮器破坏乌克兰的 IT 基础设施。近几个月来,我们观察到网络间谍活动有所增加,尤其是臭名昭著的 Gamaredon 组织。
泰克森托行动展示了另一种利用技术来影响战争的方式。我们发现了一些典型的虚假微软登录页面,但最重要的是,有两波通过电子邮件进行的心理战可能试图通过有关战争相关主题的虚假信息来影响和打击乌克兰公民。
您可以在我们的 GitHub 存储库中找到妥协指标 (IoC) 和示例的完整列表。
国际奥委会
文件
网络
电子邮件地址
minregion@uaminagro[.]com
minregion@minuaregion[.]org
minregion@minuaregionbecareful[.]com
minregion@uamtu[.]com
mozua@ua-minagro[.]com
mozua@minagroa[.]org
minagroua@vps-3075.lethost[.]network
happyny@infoattention[.]com
happyny@stronginfo1[.]com
happyny@infonotifi[.]com
happyny@infonotification[.]com参考链接: https://www.welivesecurity.com/en/eset-research/operation-texonto-information-operation-targeting-ukrainian-speakers-context-war/
图片来源网络目标可联系删除
