首页 >> 网络安全 >>威胁情报 >> 乌克兰:俄罗斯世界末日网络钓鱼攻击欧盟政府机构
详细内容

乌克兰:俄罗斯世界末日网络钓鱼攻击欧盟政府机构

时间:2022-04-07     【转载】   阅读

乌克兰计算机应急响应小组 (CERT-UA) 发现了新的网络钓鱼尝试,这些尝试归因于被追踪为世界末日 (Gamaredon) 的俄罗斯威胁组织。


恶意电子邮件试图以乌克兰战争为主题的诱饵来欺骗收件人,并用以间谍活动为重点的恶意软件感染目标系统。


CERT-UA 已经确定了两个不同的案例,一个针对乌克兰组织,另一个针对欧盟的政府机构。


谁是世界末日

世界末日是俄罗斯国家支持的威胁行为者,至少自 2014 年以来一直以乌克兰为目标,被认为是 FSB(俄罗斯联邦安全局)的一部分。


根据乌克兰特勤局2021 年 11 月发布的详细技术报告,世界末日已对该国 1,500 个关键实体发起了至少 5,000 次网络攻击。


乌克兰军队此前已经确定了世界末日网络部队的成员,暴露了他们的工具集,并将定制恶意软件的开发工作追踪到俄罗斯黑客论坛。


因此,即使在网络响应团队资源和时间有限的混乱战时情况下,由于过去进行了广泛的识别工作,可以更有信心地做出某些归因。


以乌克兰为重点的活动

世界末日针对乌克兰的运动向该国的各个政府机构分发有关“俄罗斯联邦战犯信息”的电子邮件。


从“vadim_melnik88@i[.]ua”发送的电子邮件包含一个 HTML 附件,CERT-UA 表示目前安全软件的检测率较低。


如果打开,一个 RAR 文件会自动创建并放在计算机上,据称在快捷方式文件 (.lnk) 中包含那些应对乌克兰战争罪行负责的人的身份识别详细信息。


但是,单击此 LNK 文件将下载另一个带有 VBScript 代码的 HTA 文件,该代码运行 PowerShell 脚本以获取最终有效负载。

image.png

乌克兰定位活动 (CERT-UA)的详细信息

欧盟运动

在针对各种欧盟政府官员的运动中,世界末日使用名为“Assistance”和“Necessary_military_assistance”的 RAR 档案附件。

这些档案包含快捷方式文件 (.lnk),据称其中包括向乌克兰提供军事和人道主义援助所需的物品清单。打开该文件会触发上一节中描述的相同恶意软件感染链。

发件人的地址是“info@military-ukraine[.]site”,这可能被认为是合法的,而签名者据说是乌克兰的军备副司令兼少将。


image.png

欧盟网络钓鱼活动 (CERT-UA)的详细信息

CERT-UA 已确认这些电子邮件中至少有一封已到达拉脱维亚政府的收件箱。因此,同样的运动可能针对更多的欧洲政府。


该报告与最近针对欧盟实体的俄罗斯发起的攻击的其他调查结果一致,例如上周的 Google TAG网络钓鱼活动报告、针对 KA-SAT 卫星服务的擦除恶意软件 部署、波罗的海地区的GPS 系统干扰以及针对那些帮助解决难民危机的人的网络钓鱼攻击。


技术支持: 建站ABC | 管理登录