俄罗斯沙虫组织利用Follina漏洞侵入乌克兰关键机构),追踪号为CVE-2022-30190,可通过打开或选择特制文档触发,至少从4月开始就被威胁行为者利用在攻击中2022年。值得注意的是,乌克兰情报机构以中等信心评估“沙虫”黑客组织是此恶意活动的幕后黑手。CERT-UA表示,俄罗斯黑客利用Follina发起了一场新的恶意电子邮件活动,目标是来自乌克兰各种媒体组织的500多名收件人,包括广播电台和报纸。这些电子邮件的主题行是“交互式地图链接列表”,还有一个同名的.DOCX附件。当目标打开文件时,将执行JavaScript代码以获取名为“2.txt”的有效负载,CERT-UA将其归类为“MaliciousCrescentImp”。然而,CERT-UA提供了一组简短的妥协指标来帮助防御者检测CrescentImp感染。但是,尚不清楚CrescentImp到底是什么类型的恶意软件。Sandworm这几年一直以乌克兰为目标,尤其是在俄罗斯入侵乌克兰之后,它的攻击频率明显增加。4月,人们发现Sandworm试图通过使用Industroyer恶意软件的新变种来攻击一家大型乌克兰能源供应商的变电站。安全研究人员还确定Sandworm是负责创建和运行CyclopsBlink僵尸网络的组织,这是一种高度持久的恶意软件,依赖固件运行。为了寻找这六名黑客组织成员的踪迹,美国还悬赏高达1000万美元。
