高级持续威胁(APT)隶属于或支持弗拉基米尔-普京政府的组织正在网络空间中活动随着俄罗斯对乌克兰发动地面战争,谷歌警告针对乌克兰和欧洲组织的网络钓鱼和其他攻击。谷歌威胁分析小组(TAG)的研究人员发现了名为FancyBear/APT28和Ghostwriter/UNC1151的威胁组织的间谍活动和网络钓鱼活动,谷歌TAG软件工程总监ShaneHuntley周一在一篇博文中写道。活动增加了。前者被认为是俄罗斯的GRU情报机构,而后者则是乌克兰通报的来自白俄罗斯国防部的袭击者。同时,据谷歌TAG称,近期出现了一系列针对乌克兰政府网站的分布式拒绝服务(DDoS)攻击,包括外交部和内政部,以及帮助政府的服务部门乌克兰人寻求帮助。比如Liveuamap。近日,“野马熊猫”黑客组织也加入了战局。在近期的一次钓鱼活动中,它以乌克兰战局为诱饵,对欧洲相关机构进行攻击。亨特利在帖子中写道,我们正在分享这些信息,以帮助提高社区的安全意识和用户的风险意识。流行的网络钓鱼网站FancyBear是一个针对2020年东京奥运会和欧盟选举的APT组织,最近一直在针对ukr.net(乌克兰媒体公司URKNet建立的网站)的用户开展几项大型凭据网络钓鱼活动。根据该帖子,网络钓鱼电子邮件是从大量受感染的帐户(非Gmail/Google)发送的,并且包含指向攻击者控制的域的链接。在最近的两次活动中,TAG发现攻击者使用新创建的Blogspot域作为用户的初始登录页面,然后将目标重定向到凭据钓鱼页面。目前,攻击者控制的所有已知Blogspot域都已被关闭,Huntley补充道。同时,根据GoogleTAG的说法,Ghostwriter在过去一周对波兰和乌克兰的政府和军??事组织进行了类似的网络钓鱼活动。该组织还一直以该地区以下提供商的网络邮件用户为目标。i.u.元.u.ranbler.ru.ukr.net。wp.??pl。yandex.ru.根据该帖子,GoogleTAG阻止了研究人员在活动期间通过Google安全浏览观察到的一些凭据网络钓鱼域。这些域包括:accounts[.]secure-ua[.]website、i[.]ua-passport[.]top、login[.]credits-email[.]space、post[.]mil-gov[.]空格并验证[.]rambler-profile[.]site。MustangPanda组织(又名Temp.Hex、HoneyMyte、TA416或RedDelta)也不甘示弱,正在使用与乌克兰冲突相关的网络钓鱼诱饵来攻击欧洲组织。亨特利在帖子中解释说,TAG发现了一个文件名为“EU-UkraineBorderSituation.zip”的恶意附件,其中包含一个同名的可执行文件,这是一个恶意文件下载器。执行时,该文件会下载其他几个文件,然后安装恶意负载。亨特利指出,一些APT组织在欧洲发起攻击,实际上表明威胁者的攻击策略发生了变化。他们通常以东南亚的实体为目标。但MustangPanda之前一直积极参与针对欧盟实体的攻击,最引人注目的是2020年9月针对罗马梵蒂冈和天主教会相关组织的鱼叉式网络钓鱼活动。Huntley指出,为减缓APT组织最近的网络攻击,TAG现已将其发现的信息通知相关部门。扩大DDoS防护范围随着APT加大对乌克兰目标的钓鱼攻击力度,该国重点政府网站和服务网站也将面临新一轮的DDoS攻击。亨特利写道,由于这些攻击可能会继续,谷歌现在已经扩大了该公司免费DDoS保护项目ProjectShield的资格,以包括乌克兰政府网站、世界各地的大使馆以及与冲突密切相关的其他政府网站。包括许多新闻机构在内的150多家组织提供此服务。该帖子称,ProjectShield允许谷歌减轻DDoS攻击中的恶意流量,因此目标组织可以继续运营并抵御这些攻击。Huntley写道,在DDoS攻击活动增加的情况下,该公司建议符合条件的组织注册ProjectShield。本文翻译自:https://threatpost.com/russian-apts-phishing-ukraine-google/178819/如有转载请注明原文地址。
