无人机操作手册成诱饵？乌克兰军事实体遭遇钓鱼攻击

The 无人乌克Hacker News 网站披露，乌克兰军事实体组织近期成为一起网络钓鱼攻击活动的机操击目标，某些网络犯罪分子利用无人机服务手册为诱饵
，作手传播一种名为 Merlin 的册成工具包（基于 Go 语言开发） 。

网络安全公司 Securonix 研究人员 Den Iuzvyk 、诱饵遇钓鱼攻Tim Peck 和 Oleg Kolesnikov 向 The 兰军Hacker News 透露，无人机/无人驾驶飞行器（UAV）一直以来都是事实乌克兰军方惯用的云计算军事手段，因此以 UAV 服务手册为主题的体遭恶意软件“引诱文件”，就成为网络攻击者常用的无人乌克方式之一 。

目前 ，机操击 Securonix 正在以 STARK#VORTEX 为名追踪这一网络攻击活动 。作手

经过安全研究人员分析  ，册成此次钓鱼攻击从一个微软编译的服务器租用诱饵遇钓鱼攻 HTML帮助（CHM）文件开始发起 ，一旦打开后，兰军便会运行嵌入在其中一个 HTML 页面中的事实恶意 JavaScript ，然后执行旨在联系远程服务器获取混淆二进制文件的 PowerShell 代码。

随后，解码基于 Windows 的有效载荷 ，免费模板提取 Merlin Agent，Merlin Agent 又被配置为与命令与控制 (C2) 服务器通信
，以方便网络攻击者进行后期开发行动，从而有效夺取主机控制权。

研究人员强调虽然本次攻击的攻击链相当简单，但网络攻击者利用了一些相当复杂的技术手段和混淆方法来逃避检测 。

值得一提的模板下载是，2023 年 8 月初  ，乌克兰计算机应急小组（CERT-UA）曾披露了一个类似的攻击链，网络攻击者利用 CHM 文件作为诱饵，用开源工具感染受害者计算机系统  。

CERT-UA 将攻击活动归咎于其监控的一个名为 UAC-0154 的源码下载网络攻击组织 。

研究人员指出攻击链中使用的文件和文档能够很好地绕过防御系统
，通常情况下，通过互联网接收微软帮助文件会被认为极不寻常。

最后，CERT-UA 表示其在几周前 ，检测到了俄罗斯国家支持的名为 APT28 的建站模板组织对该国一个未命名的关键能源基础设施发动了网络攻击，但未获成功。

文章来源：https://thehackernews.com/2023/09/ukrainian-military-targeted-in-phishing.html