乌克兰政府实体在其网络上安装带有木马化ISO文件的Windows10程序后成为黑客的目标。这些恶意安装程序加载的恶意软件能够从受感染的计算机收集数据,部署其他恶意工具,并将窃取的数据渗透到攻击者控制的服务器中。在此活动期间推送的ISO文件之一创建于2022年5月,托管在toloka[.]toUkraine洪流跟踪器上。网络安全公司Mandiant表示,ISO配置为禁用Windows计算机发送给微软的典型安全遥测,并阻止自动更新和许可证验证。没有迹象表明这次入侵有经济动机,无论是窃取有利可图的信息还是部署勒索软件或加密软件。在分析乌克兰政府网络上的几台受感染设备时,Mandiant还发现了2022年7月中旬设置的计划任务,用于接收要通过PowerShell执行的命令。在初步侦察之后,攻击者还部署了Stowaway、Beacon和Sparepart后门,使他们能够保持对受感染计算机的访问、执行命令、传输文件和窃取信息,包括证书和击键。木马化的Windows10ISO是通过乌克兰语和俄语洪流文件共享平台分发的,这与网络间谍组织在其基础设施上托管有效载荷的类似攻击不同。虽然这些恶意Windows10安装程序并非专门针对乌克兰政府,但攻击者分析了受感染的设备,并对那些被确定为属于政府实体的设备进行了进一步、更有针对性的攻击。此次供应链攻击背后的组织已被追踪为UNC4166,其目标可能是从乌克兰政府网络中收集和窃取敏感信息。虽然还没有明确的归因,但Mandiant的安全研究人员发现,此次活动的目标组织之前曾在与俄罗斯军事情报部门有联系的APT28民族国家黑客的目标列表中。UNC4166的目标与GRU相关集群在战争初期用wipers攻击的组织不谋而合。UNC4166与之有后续互动的组织包括那些历史上遭受过破坏性爬虫攻击的组织,自违规事件爆发以来,我们一直与APT28有关联。APT28至少自2004年以来一直代表俄罗斯总参谋部(GRU)的主要情报部门运作,并与针对世界各地政府的活动有关,包括2015年德国联邦议院的黑客攻击和2016年针对民主党的活动国会竞选委员会(DCCC)。)和民主党全国委员会(DNC)的攻击。自俄罗斯开始入侵乌克兰以来,针对乌克兰政府和军事组织的多次网络钓鱼活动已被谷歌、微软和乌克兰的CERT标记为APT28行动。Mandiant补充说:“使用特洛伊木马化ISO在间谍活动中是新颖的,包括反检测能力,并显示了该活动背后组织者的安全意识和耐心,因为该活动需要大量时间和资源来开发和等待。”ISO挂载在关注的网络上。参考来源:https://www.bleepingcomputer.com/news/security/ukrainian-govt-networks-breached-via-trojanized-windows-10-installers/
