AgingFly 恶意软件针对乌克兰政府和医院

AgingFly 恶意软件针对乌克兰政府和医院

执行摘要

研究人员将一个以前未记录的恶意软件家族命名为 'AgingFly'，该软件正在积极针对乌克兰地方政府机构和医院，以窃取凭证为重点的活动。根据乌克兰计算机紧急响应小组（CERT-UA）的分析，该恶意软件旨在窃取身份验证数据，包括基于 Chromium 的网络浏览器和 WhatsApp 桌面应用程序的 cookies 和密码。最初的感染向量被怀疑是包含恶意附件的鱼叉式网络钓鱼电子邮件。

技术分析

AgingFly 是一个基于 .NET 的信息窃取器，以恶意可执行文件的形式交付。一旦在受害者的系统上执行，它执行几个关键功能。首先，它通过创建名为 MicrosoftEdgeUpdateTaskMachineUA 的计划任务来建立持久性。然后，它继续从系统中收集敏感数据。主要目标是基于 Chromium 的浏览器（Google Chrome、Microsoft Edge、Opera）和 WhatsApp 桌面客户端。恶意软件搜索并复制特定的浏览器数据目录，包括 Local\Google\Chrome\User Data\Default\Network 用于 cookies 和 Local\Google\Chrome\User Data\Default\Login Data 用于存储的凭证。对于 WhatsApp，它针对的是 AppData\Roaming\WhatsApp 目录，其中包含本地消息数据库和配置文件。

被盗数据被归档到 ZIP 文件中。然后 AgingFly 使用受感染系统的 Outlook 客户端通过电子邮件外泄此归档文件。它利用 MAPI（消息应用程序编程接口）直接从受害者账户发送被盗数据到攻击者控制的电子邮件地址，这种技术可以通过将恶意流量与合法电子邮件通信混合来帮助规避基于网络的检测。

入侵指标

目前没有识别到。

战术、技术与程序

该活动使用一套一致的技术。初始访问被认为通过 Spear-phishing Attachment (T1566.001) 实现。对于执行，恶意软件使用恶意可执行文件。它通过 Scheduled Task (T1053.005) 建立持久性。凭证访问通过 Credentials from Password Stores (T1555) 和通过 Cookie Theft (T1539) 窃取网络浏览器会话数据来执行。收集涉及从本地系统源收集数据（T1005）。外泄是通过电子邮件使用受害者自己的 Outlook 客户端（T1048）进行的，特别是通过 MAPI 协议。

威胁行为者背景

CERT-UA 尚未公开将此活动归因于已知的威胁行为者群体。针对乌克兰政府和医疗保健实体的目标与针对该国的长期网络行动模式一致，通常与俄罗斯对齐的高级持续性威胁（APT）群体有关。然而，如果没有在可用报告中披露的具体技术链接或战术重叠，AgingFly 背后的操作者的起源和隶属关系仍然不确定。对凭证盗窃的关注表明，目标可能是情报收集以及潜在的后续访问政府和关键医疗保健系统。

缓解措施与建议

组织，特别是在政府和医疗保健等行业，应实施几项防御措施。应培训用户识别和报告鱼叉式网络钓鱼尝试。应用程序允许列表可以防止执行未经授权的二进制文件，如 AgingFly 下降器。应配置端点检测和响应（EDR）工具以监控可疑计划任务的创建和用户工作站上不寻常的基于 MAPI 的电子邮件发送活动。对于高价值账户，考虑使用硬件安全密钥或其他抗网络钓鱼的多因素认证（MFA）方法，因为被盗的 cookies 有时可以绕过传统的 MFA。尽可能系统地审查和限制标准用户账户不必要的电子邮件发送权限。