【安全资讯】针对乌克兰军方的恶意软件：SSH通过TOR后门曝光

概要：

近期，安全研究员Artem Baranov揭示了一起针对乌克兰军方的复杂恶意软件攻击事件。该攻击利用了SSH通过TOR的后门，针对乌克兰军方专用的“Army+”平台进行渗透，显示出网络攻击的高技术性和隐蔽性。

主要内容：

该恶意软件活动通过伪造的“Army+”官方网站分发名为ArmyPlusInstaller-v.0.10.23722.exe的恶意安装程序。尽管该可执行文件表面上看似合法，包含主应用程序、卸载程序和许可证文本，但其中隐藏了恶意代码。研究员Baranov指出，安装程序中包含一个Tor浏览器的压缩包，进一步掩盖了其恶意意图。

攻击者利用PowerShell脚本init.ps1执行恶意命令，绕过安全检查并将文件提取到隐蔽目录中，启动基于TOR的通信。该恶意软件将文件分散存放在三个不同的文件夹中，使用不显眼的名称，确保其活动不易被发现。通过TOR创建的onion服务和OpenSSH的配置，使攻击者能够获得高权限访问被攻陷系统。

该恶意软件的一个显著特点是其依赖合法软件，所有相关可执行文件均为Windows系统原生且经过签名，避免了传统反病毒软件的检测。Baranov强调，强大的终端保护和定期监控系统行为对于检测异常活动至关重要，并建议使用YARA规则识别恶意脚本。