朝鲜黑客团队TA406通过对乌克兰政府的网络钓鱼攻击活动，继续了解乌克兰抗击俄罗斯的信息

前言
2025年2月，TA406开始针对乌克兰的政府实体，在其网络钓鱼活动中提供凭据收集和恶意软件。这些行动的目的很可能是收集俄罗斯入侵轨迹的情报。


至少从2019年开始，TA406在恶意软件部署活动的早期阶段就表现出了对HTML和CHM文件的偏好，以运行嵌入式PowerShell。

在2025年2月TA406活动中观察到的引诱电子邮件冒充了一个名为皇家战略研究所的智库的虚构高级研究员，该研究所也是一个虚构的组织。

这封邮件包含一个名为MEGA网盘的文件托管服务的链接，提供了1个有密码保护的RAR压缩包。

如果该文件被解密并运行，它会使用PowerShell启动一个感染链，对目标主机进行广泛的侦察。

当目标没有点击链接时，参与者连续几天发送多封网络钓鱼电子邮件，询问目标他们是否收到了之前的电子邮件以及他们是否会下载文件。


恶意文件分析

(1) Report.rar在解密时会删除同名的CHM文件。CHM文件包含多个HTML文件，显示与前乌克兰军事领导人Valeriy Zaluzhnyi相关的引诱内容。

如果用户在页面内单击，HTML中的PowerShell就会执行；

会从 hxxp://pokijhgcfsdfgnj.myweb community.org/main/test.txt  下载 它之后 ，通过PowerShell并执行它里面的命令。



(2) 下一阶段PowerShell文件执行几个命令来收集受害主机的信息。

其中包括ipconfig /all、systeminfo，以及获取最近的文件名和磁盘信息的命令，以及使用WMI收集有关主机上安装的任何反病毒工具的信息的命令。

收集的信息被连接起来并进行Base64编码，然后通过POST请求发送到 hxxp://pokijhgcfsdfgnj.mywebcommunity

然后，PowerShell使用初始HTML文件中类似的脚本逻辑，并将其保存到主机的APPDATA文件夹中名为state.bat的文件中。

然后，批处理文件作为自动运行文件安装，以便持久保存，并在机器启动时运行。


(3) Proofpoint还发现第一阶段文件是网络钓鱼电子邮件的HTML附件。

如果目标打开HTML并单击嵌入的链接，就会从hxxps://lorica.com.ua/MFA/вкладення.zip(机器翻译:“attachment.zip”)。

该ZIP文件包含一个良性的PDF以及一个lnk，“为什么泽连斯基解雇Zaluzhnyi.lnk。”

如果运行，LNK文件执行Base64编码的PowerShell。


(4) 良性PDF诱惑。

解码后的LNK命令还包含Base64编码的PowerShell，它启动一个名为Windows主题更新的计划任务。



(5) 带Base64编码PowerShell的LNK命令。

PowerShell使用VBScript删除一个名为Themes.jse的Javascript编码文件，然后由计划任务运行该文件。

JSE文件签入TA406控制的URL，并使用PowerShell执行响应。

Proofpoint在分析时无法从此URL获取下一阶段有效负载。


(6) 解码PowerShell 然后运行


在TA406的恶意软件交付活动之前，Proofpoint还观察到TA406试图通过从电子邮件帐户向乌克兰政府实体发送虚假的微软安全警报消息来收集凭据。

这些消息声称目标的帐户有来自各种IP地址的异常登录活动。





朝鲜曾经承诺在2024年秋季派遣部队协助俄罗斯，TA406很可能在收集情报，以帮助朝鲜领导层确定其已在战区的部队目前面临的风险，以及俄罗斯要求更多部队或军备的可能性。

与可能负责收集战术战场信息和就地锁定乌克兰军队的俄罗斯组织不同，TA406通常专注于更具战略性的政治情报收集工作。