最近,烏克蘭政府員工成為俄羅斯網絡罪犯的攻擊目標,他們偽裝成這些機構的IT工作人員,以訊息竊取惡意軟件為手段進行攻擊。CERT-UA 的網絡安全研究人員發現了今次黑客攻擊行動,俄羅斯政府贊助的APT28威脅行為者(也被稱為Fancy Bear)向烏克蘭政府員工發送電子郵件。
這些電子郵件聲稱來自政府的 IT 部門,敦促他們立即更新其 Windows 設備,以防止可能的網絡攻擊。為了提高可信度,黑客們會創建 @outlook.com 電子郵件地址,使用這些組織中真實工作人員的名字,以冒充烏克蘭人。
研究人員無法說明攻擊者如何獲取這些訊息。如果任何受害者上當,攻擊者會建議他們運行 PowerShell 命令,該命令不是更新設備,而是下載訊息竊取惡意軟件。這種惡意軟件濫用 “tasklist” 和 “systeminfo” 命令來收集敏感數據,並通過 HTTP 請求將其發送到 Mocky 服務 API。
為了確保沒有人會上當,CERT-UA 建議實際的 IT 部門限制關鍵設備上的運行 PowerShell 命令的能力,並監視網絡流量以檢測可疑活動,特別是如果有東西連接到 Mocky 服務 API。
俄羅斯與烏克蘭之間的戰爭已經進行了一年多,並在兩個前線上進行戰鬥,一個是實體的戰爭,另一個是在網絡空間中進行的戰爭。俄羅斯黑客一直在努力試圖通過惡意軟件感染政府終端,以及試圖攻擊關鍵的政府和媒體網站。事實上, Google 的威脅分析小組(TAG)表示,今年第一季度瞄準烏克蘭目標的幾乎六成(60%)的所有釣魚電子郵件都來自俄羅斯威脅行為者,而 APT28 是此次攻擊中的關鍵角色。
