DDoS 應用程序旨在攻擊受俄羅斯感染的烏克蘭活動家的 Android 手機

谷歌證實，親烏克蘭組織認為他們正在使用新的 DDoS 應用程序反擊俄羅斯，但事實證明，該應用程序本身就是感染了他們設備的惡意軟件。

谷歌威脅分析小組 (TAG) 發布了其關于高級持續威脅 (APT) 小組 Turla（又名毒熊、氪、Uroburos 和 Waterbug）針對烏克蘭目標的活動的調查結果。

該 APT 組織隸屬于俄羅斯聯邦安全局，據 TAG 安全工程師比利·倫納德（Billy Leonard）稱，它正在部署偽裝成DDoS 攻擊工具的 Android 惡意軟件。

值得注意的是，Turla 與2017 年 6 月通過美國流行歌手和舞者布蘭妮斯皮爾斯的 Instagram 帖子控制惡意軟件的組織相同。

被假 DDoS 工具困住的烏克蘭人

根據 Google Tag 的報告，Turla 的虛假 DDoS 應用程序托管在被標識為 cyberazovcom 的烏克蘭亞速團（該國極右翼的庫存單位）的欺騙版本上。

Leonard 解釋說，這是他們第一次看到 Turla 分發 Android 惡意軟件。假冒應用程序不是通過 Google Play 商店交付的，而是在攻擊者控制的欺騙域上交付的。他們還使用第三方消息服務來推廣該域。

然而，據 Lab52 稱，這并不是 Turla APT 組織第一次被發現傳播 Android 惡意軟件。該公司在 2022 年 4 月發布的報告中表示，Turla 組織一直在分發能夠跟蹤 GPS 位置并監視受害者的 Android 惡意軟件。

目前，Turla 專注于針對親烏克蘭的激進分子，主要是那些自愿加入 IT 軍隊以對俄羅斯 IT 基礎設施發起 DDoS 攻擊的人。

Tusla黑客控制的假冒網站截圖，偽裝成DDoS應用傳播惡意Android應用（圖片：谷歌的TAG）

詐騙詳情

根據 Google TAG 的博客文章，惡意 Cyber?? Azov 應用程序正在親烏克蘭活動家和組織中分發，以快速通過其智能手機對俄羅斯網站發起 DDoS 攻擊。

“該應用程序以對一組俄羅斯網站執行拒絕服務 (DoS) 攻擊為幌子進行分發。但是，‘DoS’僅包含對目標網站的單個 GET 請求，不足以發揮作用。”

比利·倫納德 – Google TAG

最終的惡意載荷尚不清楚，Leonard 指出安裝次數也相對較低。該假冒應用程序于 2022 年 3 月被發現，此后 TAG 安全研究人員警告烏克蘭的活動在從未經驗證的平臺下載 DDoS 工具時要保持謹慎。

總之，要非常小心你在網上信任誰。俄羅斯黑客不僅在開發和惡意軟件方面非常老練，而且在針對受害者的社會工程方面也非常老練。