網絡釣魚活動針對與烏克蘭難民合作的歐盟官員

隨著烏克蘭戰爭的繼續，安全研究人員發現了一種看起來像是秘密網絡戰的新嘗試。這一次，威脅行為者針對的是與逃離飽受戰爭蹂躪的國家的烏克蘭難民合作的歐盟工作人員和官員。

網絡釣魚攻擊使用受感染的電子郵件

安全公司 Proofpoint 的研究人員發布了一份關於此次攻擊的報告。根據 Proofpoint 的說法，一個“可能的”國家支持的演員正在瞄準正在處理來自烏克蘭的難民潮的歐洲政府官員。網絡釣魚攻擊是使用屬於烏克蘭軍方的電子郵件地址進行的，該電子郵件地址此前已被威脅者入侵。

網絡釣魚電子郵件中包含的有效負載包含一個名為“list of persons.xlsx”的附加 Excel 文件，其中嵌入了惡意宏。如果被執行，宏會嘗試抓取一個用 Lua 編寫的名為“SunSeed”的惡意二級有效載荷。網絡釣魚郵件來自的電子郵件屬於烏克蘭軍方成員和 ukr.net 郵件域。

當談到網絡釣魚電子郵件的社會工程方面時，該郵件的主題是“根據烏克蘭安全委員會 2022 年 2 月 24 日緊急會議的決定”。這與電子郵件標題日期前一天北約安理會召開的緊急會議有關。另一方面，附件的文件名旨在援引 2 月下旬成為新聞的烏克蘭目標的“殺戮名單”。

SunSeed 惡意軟件的工作原理

有效載荷安裝了許多 Lua 依賴項，然後執行惡意 SunSeed Lua 腳本，最後通過使用快捷方式 .lnk 文件設置持久性。還安裝了合法 Lua 代碼解釋器的修改版本。有問題的解釋器稱為 sppsvc.exe，並且這個特定版本已被修改，因此它不會向 Windows 控制台輸出任何內容，以掩蓋惡意軟件的活動。

用於持久性的快捷方式文件稱為 Software Protection Service.lnk，並在 ~\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ 下創建。

儘管 Proofpoint 認為這是一個國家支持的實體，但沒有確鑿的證據表明任何特定國家的任何特定群體。這份報告發布之際，據報導，已有超過 100 萬烏克蘭人逃離該國並在烏克蘭境外尋求庇護。烏克蘭難民的湧入甚至促使傳統上每年難民配額極低的日本向逃離戰爭的人開放邊境。