乌克兰计算机紧急响应小组(CERT-UA)警告称,俄罗斯APT黑客组织针对该国各种政府机构进行网络攻击。
该机构将这场钓鱼活动归因于APT28,该组织还被称为Fancy Bear、Forest Blizzard、FROZENLAKE、Iron Twilight、Sednit和Sofacy。
这些电子邮件以“Windows更新”为主题,并声称用乌克兰语包含在安全更新的借口下运行PowerShell命令的指示。
运行该脚本会加载并执行下一阶段的PowerShell脚本,该脚本通过使用tasklist和systeminfo等命令收集基本系统信息,并通过HTTP请求将详细信息发送到一个Mocky API。
为了诱使目标运行命令,这些电子邮件伪装成目标政府实体的系统管理员,使用员工的真实姓名和首字母创建伪造的Microsoft Outlook电子邮件帐户。
CERT-UA建议组织限制用户运行PowerShell脚本的能力,并监控与Mocky API的网络连接。
几周前,APT28因利用现已修复的网络设备安全漏洞进行侦察和针对特定目标部署恶意软件而受到关注。
谷歌的威胁分析小组(TAG)上个月发布的一份建议中,详细介绍了这个威胁行为体进行的一次凭证收集行动,将乌克兰政府网站的访问者重定向到钓鱼域名。
总部位于俄罗斯的黑客团伙还被指与针对欧洲政府、交通、能源和军事部门的入侵行动中利用Microsoft Outlook中的一个关键权限升级漏洞(CVE-2023-23397,CVSS评分:9.8)有关。
与此同时,Fortinet FortiGuard实验室还发现了一个多阶段钓鱼攻击,利用一个被认为来自乌克兰Energoatom的带有宏的Word文档作为诱饵,传递开源Havoc后渗透框架。
网络安全公司Recorded Future今年早些时候在一份报告中表示:“俄罗斯情报、军事和执法部门与网络犯罪威胁行为者之间长期存在一种默契关系的可能性仍然很高。”
“在某些情况下,这些机构几乎可以肯定地与网络犯罪威胁行为者保持一种确定的、系统化的关系,要么通过间接合作,要么通过招募。”
原文始发于微信公众号(XDsecurity):威胁情报信息分享|APT28针对乌克兰政府实体发出伪造的“Windows更新”电子邮件
