网络攻击者使用被黑客入侵的乌克兰军事电子邮件,以针对与逃离乌克兰的难民一起工作的欧盟政府雇员。网络钓鱼攻击。最近几周和几个月,乌克兰一直处于前所未有的网络攻击之中,从针对组织和公民的分布式拒绝服务(DDoS)攻击到针对国家基础设施的网络攻击等等。这一次,攻击者以欧盟工作人员为目标,利用俄罗斯入侵乌克兰的突发新闻引诱目标打开包含MicrosoftExcel文件的电子邮件,其中包含恶意软件。研究人员认为网络钓鱼攻击是由TA445(又名UNC1151或Ghostwriter)组织实施的。TA445此前曾与白俄罗斯政府有关联。这次袭击恰逢俄罗斯于2月23日星期三入侵,当时北约就俄罗斯即将入侵乌克兰召开紧急会议。第二天,俄罗斯入侵乌克兰,研究人员发现一封可疑的电子邮件在流传。邮件主题为“根据乌克兰安全委员会2022年2月24日紧急会议决定”。它包含一个名为“PersonnelList.xlsx”的具有宏功能的Excel(.xls)电子表格,打开后会运行一个名为SunSeed的恶意软件。这封电子邮件来自ukr.net网站,这是一个乌克兰军用电子邮件地址。奇怪的是,研究人员将该地址追溯到2016年发布的Steele品牌割草机的公开采购文件,该订单是由“В?йськовачастинаА2622”发布的,这是位于乌克兰切尔尼戈夫的一个军事单位。攻击者究竟如何获得军事电子邮件地址尚不清楚。该钓鱼网站针对的是参与管理乌克兰难民外流的欧洲政府机构。这些被袭击的人员职责分工明确。报告称,犯罪分子显然更倾向于将目标锁定在欧洲范围内负责交通、财务、预算分配、行政管理和人口流动的人员。报告称,袭击这些工人的目的是获取有关北约成员国内部资金、物资和人员流动的情报。与白俄罗斯有关的攻击者该报告指出,没有确凿的证据可以明确地将此活动与特定的威胁行为者联系起来。尽管如此,研究人员还是注意到这次网络钓鱼活动与去年7月针对美国网络安全和国防公司的另一次攻击之间存在许多相似之处。据Proofpoint研究人员称,7月的活动还使用带有宏的XLS附件来安装Lua恶意软件,这是恶意软件SunSeed使用的编程语言。他们还补充说,该活动使用最近的一份政府报告作为社会工程攻击的诱饵。此活动中使用的文件名“BriefingParticipantList.xls”与此活动中使用的文件名非常相似。此外,攻击者使用Lua脚本创建了一个与SunSeed样本几乎相同的URI地址,该地址由受害者C盘分区的序列号组成。通过对两个样本中的加密调用的分析,使用相同版本的WiX3.11.0.1528创建了MSI包。这些相同的技术让研究人员更有信心地得出结论,这两个活动是由同一个威胁参与者——TA445执行的。据Mandiant称,该组织总部设在明斯克,与白俄罗斯军方关系密切,为白俄罗斯政府的国家利益发动袭击。同时,白俄罗斯是俄罗斯的亲密盟友。研究人员以免责声明结束。自战争一开始,攻击者就加快了他们在网络空间开展活动的步伐。针对乌克兰的史无前例的攻击这种网络钓鱼活动在过去几天并不新鲜,因为网络犯罪分子最近几天一直在对乌克兰国家发起网络攻击。不过,研究人员指出,虽然此次攻击所使用的技术并不是针对特定个体的单独攻击,但如果集中部署,进行高强度的网络攻击,将具有更强大的攻击能力。ComforteAG的安全研究人员通过电子邮件告诉媒体,此次攻击表明威胁行为者在使用社会工程策略时是多么无情和聪明。他补充说,这种情况突出了每个企业都应该注意的两个关键点。首先,偶尔对员工进行常见的社会工程策略教育是不够的。公司需要让员工以怀疑的态度对待每一封电子邮件。其次,即使您认为您的核心数据资产绝对可靠,您也必须保护所有企业数据,而不仅仅是外围的安全。本文翻译自:https://threatpost.com/phishing-campaign-targeted-those-aiding-ukraine-refugees/178752/如有转载请注明原文地址。
