與俄羅斯有關的InvisiMole組織對烏克蘭發動魚叉式網絡釣魚攻擊

近期，烏克蘭計算機緊急事件響應政府小組(CERT-UA)聲稱UAC-0035組織(又名 InvisiMole)針對烏克蘭國家機構發起魚叉式網絡釣魚郵件攻擊，這些釣魚郵件使用名為“501_25_103.zip”的存檔，其中包含一個快捷方式文件。打開LNK文件后，將下載一個HTA文件并在受害者的計算機上執行。HTA文件包含一個VBScript代碼，用于獲取和解碼誘餌文件和惡意程序 LoadEdge后門。然后后門與遠程命令和控制服務器建立聯系以下載并執行其他惡意負載，包括TunnelMole、濫用DNS協議的惡意軟件以及RC2FM和RC2CL。LoadEdge后門通過Windows注冊表將會一直存在。

對此，CERT-UA及時發布了公告，公告中稱：烏克蘭CERT-UA計算機緊急情況應對政府小組收到政府機構的通知。通知中表明了該活動與UAC-0035組織(InvisiMole)的活動有關。請注意惡意程序LoadEdge的編譯日期–24.02.2022，同時，CERT還分享了近期攻擊的入侵指標(IoC)。

InvisiMole組織是與俄羅斯有關的威脅組織 ，從2013年以來一直保持活躍，雖然ESET專家將該組織與Gamaredon俄羅斯APT組織聯系起來，但這兩個組織很可能是獨立的。該組織于2018年首次被ESET發現，當時專家們發現了一種復雜的間諜軟件，被追蹤為InvisiMole，在過去五年中用于俄羅斯和烏克蘭的針對性攻擊。在過去的活動中，該組織針對的是少數軍事部門的知名組織和東歐的外交使團。

參考來源：

https://securityaffairs.co/wordpress/129337/apt/invisimole-targets-ukraine-government.html