最近,安全研究人员 Amaury G.、Maxime A.、Erwan Chevalier、Felix Aimé 和 Sekoia TDR 发现了一个正在进行的网络间谍活动,该活动被称为 “双重窃听活动”。该行动与 UAC-0063 相关联,UAC-0063 是与俄罗斯 APT28 相关联的入侵集,其重点是收集以哈萨克斯坦为核心的中亚地区的情报。这次行动凸显了俄罗斯对该地区地缘政治和经济动态的战略兴趣。
该活动利用哈萨克斯坦外交部的合法文件作为诱饵。报告称,这些文件,包括外交信函和协议草案,被 “武器化,用作中亚外交相关实体的鱼叉式网络钓鱼诱饵”。这些文件的真实性已得到核实,其中一些文件与政府官方网站上公布的最终版本相吻合。
来源:Sekoia TDR Sekoia TDR
感染链采用 “双击 ”技术,涉及两个恶意 Word 文档。第一个文档,如 “Rev5_Joint Declaration C5+GER_clean version.doc”,提示用户启用宏,从而触发创建第二个恶意文档。第二个文档会默默执行更多命令,最终部署 HATVIBE 后门。
研究人员指出:“这个 Double-Tap 感染链的独特之处在于,它采用了许多绕过安全解决方案的技巧,如在 settings.xml 文件中存储真正的恶意宏代码,为第二个文档创建一个不启动 schtasks.exe 的计划任务,或为第一个文档使用一种反仿真技巧,旨在查看执行时间是否未被更改,否则宏将被停止。”这种缜密的设计显示出高度的复杂性。
该活动主要依靠两种恶意软件菌株:
- HATVIBE:执行从远程命令与控制(C2)服务器接收的模块的后门。它使用 XOR 加密和模块化设计来保持隐蔽性。
- CHERRYSPY: 这是一个更复杂的 Python 后门,扩展了 HATVIBE 的功能,为攻击者提供了更强大的间谍工具。
感染链还与较早的 APT28 活动(如 Zebrocy)有相似之处,包括使用 VBA 脚本和基于 PHP 的 C2 基础设施。
该活动与俄罗斯在哈萨克斯坦和中亚的战略利益密切相关。研究人员评估说:“这次部分被发现的活动的目的很可能是收集有关哈萨克斯坦与西方和中亚国家关系的战略和经济情报,旨在维护俄罗斯在一个历史上属于其控制范围的地区的影响力。”
哈萨克斯坦与西方国家和中国日益紧密的经济和地缘政治关系使其成为首要目标。从它在 “中间走廊 ”贸易路线上的野心,到涉及法国、俄罗斯、中国和韩国的核电项目,情报工作的风险都很高。