今年4月烏克蘭電腦緊急應變團隊(CERT-UA)揭露名為GiftedCrook的竊資軟體,駭客組織UAC-0226針對該國軍事單位、執法機關、地方自治團體而來,特別偏好位於烏克蘭東部邊境的組織。這些駭客散布帶有Excel巨集附件檔案的電子郵件,一旦收信人開啟,就會在電腦植入惡意軟體,其中一個就是GiftedCrook。如今相關攻擊活動升級,駭客強化此竊資軟體的危害能力,導致相關威脅加劇。
資安業者Arctic Wolf針對此竊資軟體進行追蹤、調查,指出在CERT-UA揭露之後,駭客兩度改版增加功能,從原本能夠竊取瀏覽器存放的使用者資料,變成能同時竊取受害電腦的特定檔案,成為駭客用來收集情資的工具。由於新版GiftedCrook出現的時間,恰巧與在伊斯坦堡舉行的烏克蘭和平談判時間點吻合,因此他們推測駭客的目的,很有可能就是要收集烏克蘭政府與軍事單位的情報。
駭客疑似在2月開始打造GiftedCrook,並在3月正式用於實際攻擊活動,之後陸續開發新功能。
針對駭客散布竊資軟體的過程,主要都是透過釣魚郵件作為接觸受害者的初期管道,特別的是,這些駭客大多會宣稱自己位於烏克蘭西部的城市烏日霍羅德(Uzhhorod),或是烏克蘭轄內的其他城市,來取信收信人,究竟駭客如何向收信人透露這樣的訊息?Arctic Wolf沒有進一步說明,但表示他們對於郵件的標頭(Header)進行深度分析,發現幾個值得注意的地方。
另一個取信受害者的地方,是收信人的欄位。駭客通常會寄送烏克蘭東部的頓涅茨克區、位於巴赫姆特市(Bakhmut)的政府機關,藉此增加釣魚郵件的可信度。不過,真正的攻擊目標,無從直接透過這些釣魚郵件得知。研究人員指出,CERT-UA判斷駭客針對烏克蘭政府和軍事機構的依據,是來自附件檔案不斷出現的軍事登記與徵兵誘餌。
GiftedCrook之所以再度引起注意,主要是因為Arctic Wolf在6月初找到1.2版惡意軟體,當時駭客透過社交工程寄送帶有PDF附件的釣魚郵件,他們看到其中一些PDF檔案內容聲稱烏克蘭要實施軍事登記,並採取新的軍事人員、預備役徵兵制度。但不尋常的是,此檔案內含雲端檔案共享平臺Mega的惡意URL,一旦收件人點選,他們就會被導向、下載物件連結與嵌入(OLE)檔案,駭客聲稱這是組織軍事人員名單,此為內有巨集的試算表檔案(XLSM)。
對方聲稱收信人必須手動啟用巨集才能正確顯示內容,然而若是照做,電腦就會被植入GiftedCrook。此竊資軟體會根據特定類型的文件檔案進行分析和過濾,尋找過去15天曾修改、檔案大小5 MB以內的檔案,並將竊得的檔案以ZIP檔打包,然後透過特定金鑰加密,最終傳送到特定的Telegram頻道。
後續研究人員於6月下旬找到新的GiftedCrook 1.3版,並指出此版竊資軟體整併初期版本與1.2版的功能,在挖掘受害電腦45天內曾修改的特定資料同時,也會竊取多種瀏覽器的帳密與Cookie。附帶一提的是,為了迴避沙箱偵測,1.3版GiftedCrook採用休眠機制(sleep evasion technique)來達到目的。
熱門新聞
2025-11-17
2025-11-14
2025-11-17
2025-11-14
2025-11-17
2025-11-18
2025-11-17