俄罗斯黑客瞄准欧洲政府财政部门的大使馆和官员

根据CheckPoint Research的一份新报告，俄罗斯黑客最近通过发送恶意附件袭击了一些欧洲大使馆。 “这次攻击始于一个伪装成美国最高机密文件的恶意附件，它将受欢迎的远程访问和桌面共享软件TeamViewer武器化，以便完全控制受感染的计算机。”黑客攻击的目标是欧洲驻尼泊尔大使馆，圭亚那，肯尼亚，意大利，利比里亚，百慕大和黎巴嫩。

黑客通常会通过电子邮件向官员发送带有恶意宏的Microsoft Excel电子表格，这些电子邮件似乎来自美国国务院。一旦打开，黑客就可以通过恶意的Teamviewer完全控制受感染的计算机。根据CheckPoint分析，

图片：CheckPoint

启用宏后，将从XLSM文档中的十六进制编码单元格中提取两个文件：

1. 合法的AutoHotkeyU32.exe程序。
2. AutoHotkeyU32.ahk→一个AHK脚本，它向C＆C服务器发送POST请求，并可以接收其他AHK脚本URL以下载和执行。

• 三个不同的AHK脚本正在服务器上等待下一阶段：

1. 1. hscreen.ahk：获取受害者PC的屏幕截图并将其上传到C＆C服务器。
   2. hinfo.ahk：将受害者的用户名和计算机信息发送到C＆C服务器。
   3. htv.ahk：下载TeamViewer的恶意版本，执行它并将登录凭据发送到C＆C服务器。

很难说这一运动背后是否存在地缘政治动机，因为它不针对特定地区，受害者来自世界各地。政府财政官员也遭到了这些攻击，CheckPoint Research指出，黑客对这些受害者特别感兴趣，他们似乎是从几个税收当局中精心挑选出来的政府官员。

黑客是非常复杂，精心策划的攻击，使用为受害者的利益量身定制的诱饵文件，并针对特定的政府官员。

虽然黑客是俄罗斯人，但这些攻击不太可能由俄罗斯国家赞助，而且CheckPoint Research认为他们的攻击应该是经济上的动机。

来自：Checkpoint