针对东欧国家大使馆与欧盟医疗机构的入侵

研究人员发现名为 YoroTrooper 的攻击者自从 2022 年 6 月起就一直以东欧各国政府为目标进行攻击，目前尚未对该攻击者形成完整结论。

YoroTrooper 组织概述

经过分析，该组织背后的攻击者应该是说俄语的人。但不并不一定居住在俄罗斯或者是俄罗斯的国民，毕竟受害者主要都在独联体国家中。另外在代码中也发现了部分西里尔文，表明攻击者也十分熟悉该语言。在某些情况下，攻击者攻击的是俄语设备，说明攻击目标应该也是讲俄语的。

攻击者注册了许多恶意域名，有子域名包含的也有包含错别字的，以此来诱导欺骗受害者：

最初的攻击媒介是带有附件的钓鱼邮件，通常是包含两个文件（一个快捷方式文件、一个诱饵 PDF 文件）的压缩文件。快捷方式文件是触发根源，PDF 文件是诱饵。

钓鱼邮件

攻击者使用了多种商用远控木马与信息窃取木马，例如 AveMaria/Warzone RAT、LodaRAT、基于 Python 定制开发的木马与 Stink Stealer 等。所有基于 Python 的恶意软件全都使用 Nuitka 或 PyInstaller 生成可执行文件再使用。定制化的恶意软件使用了 Telegram Bot 来进行 C&C 通信。

分析表明 YoroTrooper 成功入侵了一个重要的欧盟医疗保健机构与一个世界知识产权组织（WIPO），获取了至少一个账户的访问权限。但尚不清楚攻击者是否专门将这些机构作为攻击目标，或者是因为欧洲的攻击目标而泄露的凭据。发现的恶意域名伪装成合法的欧盟政府机构。

YoroTrooper 也成功入侵了土库曼斯坦和阿塞拜疆的大使馆，窃取各种信息。通常 YoroTrooper 会窃取大量的信息，例如多个浏览器的凭据、浏览历史记录和 Cookie。攻击者可以利用浏览历史记录根据受害者的浏览习惯定制钓鱼网站。

尽管归因困难，但研究人员评估 YoroTrooper 与 Kasablanka 并没有关联，而 Kasablanka 曾经开发了 LodaRat4Android。在 2021 年分析 Kasablanka 时，认为运营方和开发方可能不同，现在可以确认这一点。

YoroTrooper 与 PoetRAT 的关联关系更强，尤其是在非技术层面。但即使有关联，仍然不足以将二者联系起来。

尽管 PoetRAT 和 YoroTrooper 的运营方没有关联，但其受害者和 TTP 仍然存在相似之处。二者都会使用开源工具来进行凭据窃取和初始侦察。也都喜欢使用 Python 开发定制化恶意软件，并以不寻常的形式进行分发。

PoetRAT 会将 Python 解释器附加到恶意文档中，从该文档提取并用于执行基于 Python 的 PoetRAT。YoroTropper 则使用 Nuitka 框架以一种奇怪的方式加壳定制化的凭据窃取程序，以至于最终泄露了 Python 源代码而并没有成功混淆。

PoetRAT 主要针对阿塞拜疆，特别是大使馆、能源部门和政府机构。YoroTropper 还针对阿塞拜疆和其他独联体国家及其大使馆，同样关注能源领域。

很多分析认为 LodaRAT 可以归因名为 Kasablanka 的攻击者，但分析人员认为尽管 LodaRAT 由 Kasablanka 构建并且有时由 Kasablanka 运营，LodaRAT 还是被用在了各种攻击行动中。因此对 LodaRAT 的使用，并不能作为归因的唯一指标。

YoroTrooper 使用的 LodaRAT 样本不同于 Kasablanka 使用的恶意软件的早期版本，而是基于在其他犯罪软件活动中发现的与 RedLine 和 VenomRAT 一起部署的版本，这也表明其有多个攻击者在使用。

攻击者使用了相对简单的感染链，并且使用了多种恶意软件，例如：

YoroTrooper 的攻击行动中，各个攻击目标的所属位置时间线如下所示：

攻击时间线

从 2023 年 1 月开始的最新感染链相对简单，使用了包括 LNK、HTA 等各种文件：

感染链

感染从恶意压缩文件开始，带有引诱性文件标题，与独联体国家有关：

攻击也会使用一些通用文件名，例如 Nota.rar、вложение.rar。

恶意 LNK 文件是最简单的下载程序，使用 mshta.exe 在失陷主机上下载并执行远程 HTA 文件。

LNK 文件

HTA 文件会通过 PowerShell 命令来下载下一阶段的 Payload，如恶意可执行文件与诱饵文档。

HTA 文件

该远控木马较为简单，使用 Telegram 作为 C&C 信道。支持以下功能：

代码会通过 PyInstaller 或 Nuitka 生成对应的可执行文件，其中留下了攻击者可能说俄语的痕迹：

定制化 Python 远控木马

2023 年 1 月出现的窃密木马会提取 Chrome 浏览器的登录凭据并通过 Telegram 回传给攻击者。分析代码可知应该是通过公开代码拼凑而成的，例如 Lazagne：

定制化 Python 窃密木马

YoroTrooper 使用的 Stink Stealer 会经过 Nuitka 框架生成可执行文件。Stink Stealer 会从基于 Chromium 的浏览器收集凭据、Cookie、书签以及其他信息，也会从 Discord 和 Telegram 收集 Filezilla 凭据和身份验证 Cookie。系统的屏幕截图、公网 IP 地址、操作系统、处理器、显卡与正在运行的进程都不会被放过。

窃取信息

所有的模块都在独立的进程中进行，甚至每个进程都会使用对应的线程来加快信息收集过程，这些信息被回传前会存储在临时目录中。截至 3 月初，最新版本的 Stink Stealer 2.1.1 提供了自启动配置选项，该选项将在启动文件夹中创建一个名为 Windows Runner 的链接实现持久化。

持久化

2022 年 9 月，分析人员发现了基于 Python 的简单反向 Shell，但此处缺少西里尔语检查。

反向 Shell

YoroTrooper 也会使用 Meterpreter 作为反向 Shell，用于在失陷主机上执行任意命令。直到 2023 年 2 月，YoroTrooper 还在使用这种反向 Shell。

分析人员还发现了基于 C 的定制化键盘记录工具，可能是最终的 Payload 之一，记录用户按键并保存到文件中。

键盘记录

7aa8ae8d3f8f37e3fdefc30d161fdd4482885a7312848a7b660165c0cefb8fce ddeb109a97e3689b63d4ee848d4c23b0646c8070badebcc852577be0b64c7397 5c9fbd70e73d463b0265881d904a8fca22f92b0cce24190ed16c3d8899d4120a e80fbef0be6a6688f9840ab6cd295f765d7f2fab8080896cfd0bf7e2c4c4c5da 02fc87210deab1be31568fbcd80a349b9b2a9a1e19fe5ed36d9723ff1a603ca8 d1d534028d76ea6c293d606adff4aa4ddf1d467b7329a869df5c38a0686cd15d 176b336f425bc15651672f96f70149873b10a3badfa040c8943bfe54955e043d cf1f70900b4a903dc1a868a60e192791cf26cf54f22b9a742e28e60b291d81ef 8d870328912e50f4b30e091589ac8191dfcb3b7b607156550d5468fa37b03449 6501dd570761f2bd3eff4e3416baef57c2ff514b8dd35c9c80a37e2d489d714f 9f8d3ee51af949ae15ca18c6fdd8e6f2d1c7970c8265bd5bb2bb2d92d358c04a f5664b2a20367afe8c291399ea3da0af3c1001617b6bd497d423f44b4853d273 a6761bbbb9cc206653ccee4154c38cf5ea136345c12cf7ca9af50a320fc9e0ed f2a17d140efcf94800c6dc4a2454d0f8320a9e41c04145fbbeeea84ea0321d74 1b82739880e1851d032b09de787033bd19135c8496124cd505b32afe4212b7b0 cce5b5a282ba6637cfd840cee65739a797485e024f0259e98b35cc38cc5dca3a bab2776edef029cf4632663c59297bb25eced4f7dece18cfa45e88ce2ece42a0 0aad58903f0524b82a3388b1aa6302c974dfc4ac593435f2bc0f1b9eb3ced6db 3f6d866f09cfabb1aa2a0393d290533ed31705c87b85f77edc3fdd51b90f6e24 aee816d2bb3b7691474ab4f90f8d344c4aa03e64093ca020048c7a0716e20694 348f2713fba8f0543600bf38c8427eb9996769654987516e3f0202f7bcf17228 0e0b5437592b48b358c2a4174308c7793213701704e4695bb42e03dbb4284f05 1f591a5c726b279174ce06f3fa9e5db0019b12c9b5b8e19a529bf6cb1153f164 21c2ff30adb655bad806a9107afdb7954d02356d5f4cb709a55fd65fbf84361f a26e8014e67005f1516af849ea4534db2d7a0c8c8b7fffd7890111363439c3f7 30574abb4af368912a1f928fe67427bf3e678a205169516d7590f28d0b4bb286 e3f35f911f179f96352cfc5887ee5e82a82069e022b60cb35de453f1eb76d1d3 4f237b5aa3ff4fc4e3014f693c27a1cba94fc24f3a6054c28d090592343c06a2 2293db2e9500cd0a8e76616c5569ef202a9562e8e2148890fa2186dbf7e8a2ee 9056feffc79bd34ec2570aac09fdb2165b1bd4d27edf502f32e05970952f2bdd 4bde6056cf67d410376bd3c319706032eb899a7548928842d63a886ffd82e1d6 41e8adc62dbe14d0364cb5d0db169d2bab52757912bd44a7da6da987dd09b0bd af5d893912f4888eb0c29f02015009187c093fc2cf32bdb6d70eff79b96a29e8 2b433f5a2aa1b75d75460e6a22f142a47d9c0bc0a89035f767e10a8b571c7b28 d9b8a2d9442ae51002fb6922a5600cf93e83fe4a0534a654b0acbb58bafc5bf4 331fd9e2cfe82d0131f9901f168fa91fe60c200b92b2878b704f34d4558e22f9 644768aca1cecf034005cda0c6cef682a8797fa45fd5f845081bea41b3990b2d 3479b9213da7e381a47e579f011a6a299e0827aff7bccb0900d61ef9ac485a10 adccfea997a38c8245784cb9ddf22c4dc739539b4faac09e33acf8ab5a727bbd c868185e0051c53c90ff4d5f2503b5647e8a3f3aac4aa2d0065f2178af60f7cf fa06b71c4c18bffd0283d07fa13a113a6999d2b597cd91eacdc5da3f240a54fb 96a70a20a24959dc270e12889e4bff81a86c0e4a0f23b8dc9976843940ec8ddd f3d8916b99d7e6301a885b2ec4aaf9635f1713464c53b1604d3b4e1abd673c36 c02c7b9a82a75cb251b2b7307503284a408f20e689f1be30fe50173a8b6e288b db9a6efd5d64ba0ba1783c51b6d430873518fa032bf5265c6837c7674321e183 fefddb37c5cfd0fa9746b545c825142df8e6b1f07925f6580a15d018fefb00c7 baa924292408e6ba128ef07aa21f065eb45dd2b85322a9db06fc5a828119ba65 83d96e476aa72d7ff0d3d0a02f96113834a1c7fdbe523379f7de57f7f06a2005 5eb91f4b9f68a02cf2005dd2e95d820ae5be509659a0045ded606f650d028f68 85df1d60db3406ea3d7e3f55d6f96acf4656c98c1a97411a4811062de35893b2 00284cad6f38d59d9b46a28a1a6789077f298995c79ca18ef87c4c98b14961ac 1e4091ce270bf22254868f40f4a282320c3763ee803c0276f863696a2ed9b463 d01ac7ecd1f3280f42f2956f0606b96b9da9914b564ef76d45dded3e2f0514d2 4b9811f1f8176ec9f2ee647a4c2f171854f296fbc18e47cc08eb82357a6eeec7 fd7fe71185a70f281545a815fce9837453450bb29031954dd2301fe4da99250d 00466d76832193b3f8be186d00e48005b460d6895798a67bc1c21e4655cb2e62 df75defc7bde078faefcb2c1c32f16c141337a1583bd0bc14f6d93c135d34289 9a8c72acd91f5a89dbf9fdb7cc4055ae8cf9af60f94187dbab83689da9b33f4e 8023da2c9d45536dee2020d38edec20a88b8f5115fca6335929f94c683d60dd5 f0f9e05070d9b9804bd65ef4aad9347c69b24a3a7f706cf5771f4ecf3706efeb aa696fd2f4e78f203e44fa282fb97aa31086c2b5c6040afa507c39ffd5847ef3 27e69c96af1f692ce43706904de61f841abec45a57ff0b7a7d3cbbb417455a53 162.33.177.195 172.105.215.208 172.86.75.220 192.153.57.67 193.149.129.133 193.149.176.254 206.188.196.86 45.227.252.247 45.61.136.175 45.61.136.64 45.61.138.243 46.161.40.164 46.175.148.147 64.190.113.57 64.227.24.240 89.22.232.145 89.22.233.149 94.103.86.38 94.20.72.7

https://blog.talosintelligence.com/yorotrooper-espionage-campaign-cis-turkey-europe/

精彩推荐