俄羅斯APTs對(duì)烏克蘭狂熱的進(jìn)行釣魚(yú)攻擊
2022年03月21日
谷歌公司警告說(shuō)��,在俄羅斯針對(duì)烏克蘭進(jìn)行地面戰(zhàn)爭(zhēng)的同時(shí),隸屬于或支持弗拉基米爾-普京政府的高級(jí)持續(xù)性威脅(APT)組織正在網(wǎng)絡(luò)空間內(nèi)加強(qiáng)對(duì)烏克蘭和歐洲組織的網(wǎng)絡(luò)釣魚(yú)和其他攻擊�。
谷歌TAG軟件工程總監(jiān)Shane Huntley在周一發(fā)表的一篇博文中寫(xiě)道,谷歌威脅分析小組(TAG)的研究人員發(fā)現(xiàn)�,被稱為FancyBear/APT28和Ghostwriter/UNC1151的威脅組織進(jìn)行的間諜活動(dòng)和網(wǎng)絡(luò)釣魚(yú)活動(dòng)都有所增加。其中前者被認(rèn)為是俄羅斯的GRU情報(bào)機(jī)構(gòu)�,而后者是烏克蘭曾報(bào)道過(guò)的白俄羅斯國(guó)防部的一個(gè)攻擊者��。
同時(shí)�,據(jù)Google TAG稱,最近出現(xiàn)了一系列的針對(duì)烏克蘭政府網(wǎng)站的分布式拒絕服務(wù)(DDoS)攻擊����,其中被攻擊的目標(biāo)包括了外交部和內(nèi)政部,以及幫助烏克蘭人尋找?guī)椭恼?wù)��,如Liveuamap����。
最近"Mustang Panda"黑客組織也加入了戰(zhàn)局,在最近的一次網(wǎng)絡(luò)釣魚(yú)活動(dòng)中,利用烏克蘭的戰(zhàn)爭(zhēng)局勢(shì)作為誘餌攻擊歐洲的相關(guān)機(jī)構(gòu)����。
Huntley在帖子中寫(xiě)道,我們分享這些信息是為了幫助提高社區(qū)的安全意識(shí)和用戶的風(fēng)險(xiǎn)意識(shí)����。
釣魚(yú)網(wǎng)站的流行
Fancy Bear是對(duì)2020年?yáng)|京奧運(yùn)會(huì)以及歐盟選舉進(jìn)行攻擊的APT組織,最近一直在針對(duì)ukr.net(由烏克蘭媒體公司URKNet建立的網(wǎng)站)的用戶進(jìn)行了幾個(gè)大型的憑證釣魚(yú)攻擊活動(dòng)��。
根據(jù)該帖子�,這些釣魚(yú)郵件是從大量的被攻擊的賬戶(非Gmail/Google)中發(fā)出的,其中還包括了由攻擊者所控制的域鏈接��。
在最近的兩個(gè)攻擊活動(dòng)中�����,TAG看到攻擊者使用了新創(chuàng)建的Blogspot域名作為了用戶的初始登陸頁(yè)面�����,然后將目標(biāo)重定向到了證書(shū)釣魚(yú)頁(yè)面�。Huntley補(bǔ)充說(shuō),目前����,所有已知的由攻擊者所控制的Blogspot域名都已被刪除����。
同時(shí)����,根據(jù)Google TAG,Ghostwriter在過(guò)去的一周對(duì)波蘭���、烏克蘭政府以及軍事組織進(jìn)行了類似的網(wǎng)絡(luò)釣魚(yú)活動(dòng)��。該組織還一直針對(duì)該地區(qū)的以下供應(yīng)商的網(wǎng)絡(luò)郵件用戶進(jìn)行了攻擊���。
i.ua����。
meta.ua。
ranbler.ru��。
ukr.net�。
wp.pl。
yandex.ru����。
根據(jù)該帖子����,谷歌TAG阻止了研究人員在攻擊活動(dòng)期間通過(guò)谷歌安全瀏覽所觀察到的一些憑證式網(wǎng)絡(luò)釣魚(yú)域���。這些域名包括:accounts[.]secure-ua[.]website, i[.]ua-passport[.]top, login[.]creditals-email[.]space, post[.]mil-gov[.]space and verify[.]rambler-profile[.]site�。
充分利用當(dāng)前的沖突局勢(shì)進(jìn)行釣魚(yú)攻擊
Mustang Panda組織(又名Temp.Hex�、HoneyMyte、TA416或RedDelta)也不甘示弱�,正在利用與烏克蘭沖突有關(guān)的網(wǎng)絡(luò)釣魚(yú)誘餌來(lái)攻擊歐洲組織。
Huntley在帖子中解釋說(shuō)�����,TAG發(fā)現(xiàn)了一個(gè)文件名為'歐盟與烏克蘭邊境局勢(shì).zip'的惡意附件�,其中包含了一個(gè)同名的可執(zhí)行文件,這是一個(gè)惡意文件下載器���。當(dāng)該文件執(zhí)行時(shí)���,該文件會(huì)下載幾個(gè)其他的文件,然后安裝惡意有效載荷�����。
Huntley指出,一些APT組織對(duì)歐洲發(fā)動(dòng)攻擊���,這其實(shí)可以看出該威脅攻擊者的攻擊策略發(fā)生了轉(zhuǎn)變����。他們通常情況下是以東南亞的實(shí)體為目標(biāo)���。但Mustang Panda之前就一直活躍在針對(duì)歐盟實(shí)體的攻擊中���,其中最引人注目的是在2020年9月以羅馬的梵蒂岡和天主教會(huì)相關(guān)組織為目標(biāo)的魚(yú)叉式釣魚(yú)活動(dòng)。
Huntley指出����,為了減緩APT組織的最新網(wǎng)絡(luò)攻擊,TAG目前已經(jīng)向有關(guān)當(dāng)局通報(bào)了其發(fā)現(xiàn)的信息����。
擴(kuò)大DdoS的保護(hù)范圍
隨著APTs加強(qiáng)了針對(duì)烏克蘭目標(biāo)的網(wǎng)絡(luò)釣魚(yú)攻擊力度���,該國(guó)的關(guān)鍵政府網(wǎng)站以及服務(wù)型網(wǎng)站也會(huì)面臨著新一輪的DDoS攻擊�����。
Huntley寫(xiě)道���,由于這些攻擊可能會(huì)繼續(xù)下去�����,谷歌目前已經(jīng)擴(kuò)大了Project Shield的資格���,該公司的免費(fèi)的DDoS攻擊保護(hù)為包括烏克蘭政府網(wǎng)站、世界各地的大使館和其他與沖突關(guān)系密切的政府網(wǎng)站�、以及眾多新聞機(jī)構(gòu)在內(nèi)的150多個(gè)機(jī)構(gòu),提供了這項(xiàng)服務(wù)����。
該帖子稱,Project Shield允許谷歌緩解DDoS攻擊中的惡意流量���,這樣目標(biāo)組織就可以繼續(xù)運(yùn)營(yíng)并抵御這些攻擊�。Huntley寫(xiě)道�,在DDoS攻擊活動(dòng)增加的情況下,該公司正建議符合條件的組織注冊(cè)Project Shield���。
江蘇國(guó)駿-打造安全可信的網(wǎng)絡(luò)世界
為IT提升價(jià)值
http://borgatopiano.com.cn/
免費(fèi)咨詢熱線:400-6776-989
關(guān)注公眾號(hào)
獲取免費(fèi)咨詢和安全服務(wù)
