关于使用 PoW 诱饵的新型 Vermin 链接网络钓鱼攻击的分析

　　PoW(Proof of Work)是一种区块链共识机制，用于保证区块链上交易的可靠性和安全性。其基本原理是通过计算复杂的数学问题来验证交易，在完成验证之后，该节点有权将新交易添加到区块链中，并获得相应的区块奖励。

　　一、基本内容

　　乌克兰计算机应急响应小组 (CERT-UA) 警告说，新的网络钓鱼攻击旨在用恶意软件感染设备。

　　该活动被归因于它跟踪为 UAC-0020 的威胁集群，该集群也称为 Vermin。目前尚不清楚这些攻击的确切规模和范围。

　　攻击链从网络钓鱼消息开始，其中包含来自库尔斯克地区的疑似战俘 (PoW) 的照片，敦促收件人点击指向 ZIP 档案的链接。

　　ZIP 文件包含一个 Microsoft 编译的 HTML 帮助 (CHM) 文件，该文件嵌入了负责启动模糊处理的 PowerShell 脚本的 JavaScript 代码。

　　“打开该文件会安装已知间谍软件SPECTR的组件，以及名为FIRMACHAGENT的新恶意软件，”CERT-UA说。“FIRMACHAGENT的目的是检索被SPECTR窃取的数据，并将其发送到远程管理服务器。”

　　SPECTR 是一种已知的恶意软件，早在 2019 年就与 Vermin 有关。据评估，该组织与卢甘斯克人民共和国(LPR)的安全机构有联系。

　　今年6月初，CERT-UA 详细介绍了由害虫演员策划的另一场名为 SickSync 的活动，该活动使用 SPECTR 针对该国的国防军。

　　SPECTR 是一款功能齐全的工具，旨在收集来自各种即时通讯应用程序(如 Element、Signal、Skype 和 Telegram)的文件、屏幕截图、凭据和数据。

　　二、分析研判

　　这篇文章描述了一次网络钓鱼攻击，该攻击旨在感染设备并收集数据，并被认为与威胁集群UAC-0020(也称为Vermin)有关联。攻击链始于一封网络钓鱼消息，其中包含疑似战俘的照片，并诱使受害者点击指向ZIP文件的链接。该ZIP文件包含一个Microsoft编译的HTML帮助文件，其中包含嵌入的JavaScript代码，负责启动模糊处理的PowerShell脚本。

　　该攻击所使用的恶意软件SPECTR早在2019年就已经被发现，并与Vermin有关联。据评估，该组织可能与卢甘斯克人民共和国(LPR)的安全机构有联系。

　　三、应对策略

　　员工培训：要告知员工如何识别和避免网络钓鱼消息，以及不要打开未知来源的链接或附件。

　　安全软件：要确保所有设备都安装了最新的安全软件，可以检测和删除恶意软件。

　　多层防御：要使用多层防御来加强系统和网络的安全性，例如防火墙、入侵检测和防病毒软件等。

　　更新和备份：要定期更新和备份系统和数据，以便能够快速恢复受到攻击的系统或数据。