官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
根据一份新的报告,疑似俄罗斯的APT组织正在对乌克兰的军事和国防企业发动新的间谍活动。
乌克兰军事计算机应急响应团队(MIL.CERT-UA)追踪到该活动的威胁行为者,代号为 UAC-0185 。该组织通过伪装成邀请函的钓鱼邮件,诱骗人们参加上周在基辅举行的一场合法国防会议。
这个组织,也被称为 UNC4221,在至少 2022 年以来一直活跃,主要通过信号、电报、 WhatsApp 等通信应用以及 Delta 、Teneta 和Kropyva 等本地军事系统窃取乌克兰军事人员的凭据。
根据 MIL.CERT-UA 的说法,除了账号被盗,攻击者还有选择性地进行网络攻击,以未经授权的远程方式访问乌克兰国防工业和国防部队的员工电脑。
乌克兰尚未将该组织归属于具体的国家,但研究人员此前将 UNC4221 与俄罗斯联系在一起。该组织的战术和目标与莫斯科支持的黑客常用的战术和目标相一致。
该组织利用了一些知名工具感染受害者的设备,包括 MeshAgent 和UltraVNC——一种用于远程管理计算机系统的开源软件。今年 8月初,以 UAC-0198 为标识的威胁行为者利用基于 MeshAgent 的后门恶意软件感染了 100 多台乌克兰政府计算机。
根据网络安全公司 MalwareBytes 的分析,MeshAgent 可以以不同的方式渗透系统,最常见的是作为包含恶意宏的电子邮件活动的结果。 UltraVNC 软件也可以被黑客滥用,以控制目标系统并安装后门。
乌克兰的军事和国防企业通常是黑客的常见目标,通常与俄罗斯有关联。今年 7月初,以 UAC-0180 为标识的威胁行为者试图通过伪装成无人机采购合同的恶意邮件,获取乌克兰国防公司的系统访问权限。
今年 6月,被称为 Vermin 的黑客组织利用了 Spectr 恶意软件对乌克兰武装部队发动攻击,窃取敏感信息。同期,研究人员警告称白俄罗斯的政府支持黑客组织 Ghostwriter 对乌克兰国防部发动了攻击。
早些时候,CERT-UA 还警告称黑客利用 DarkCrystal 恶意软件发动了针对乌克兰军事人员和国防部门的网络攻击,该软件可以使攻击者远程访问受害者的设备。
参考来源:https://therecord.media/suspected-russian-hackers-target-ukrainian-enterprises-espionage
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022