根据一份最新的报告,网络攻击者利用了一个被攻击的乌克兰军方的电子邮箱,对管理逃离乌克兰的难民工作的欧盟政府雇员进行了网络钓鱼攻击。
在最近的几周和几个月,乌克兰一直处于前所未有的网络攻击旋涡之中,从针对组织和公民发动的分布式拒绝服务(DDoS)攻击到针对国家基础设施的网络攻击等等。这一次,攻击者盯上了欧盟的工作人员,利用俄罗斯入侵乌克兰的重大新闻,引诱目标打开含有微软Excel文件的电子邮件,其中包含了恶意软件。
研究人员认为这一网络钓鱼攻击是TA445(又名UNC1151或Ghostwriter)组织进行的。TA445以前曾与白俄罗斯政府有过联系。
此次攻击与俄罗斯的入侵同时发生
2月23日星期三,北约就俄罗斯即将入侵乌克兰的问题召开了一次紧急会议。
第二天,俄罗斯入侵乌克兰,研究人员发现有一封可疑的电子邮件一直在流传。邮件主题是"根据2022年2月24日乌克兰安全委员会紧急会议的决定"。它包含了一个具有宏功能的Excel(.xls)电子表格,其标题为 "人员名单.xlsx",文件打开后会运行一个名为SunSeed的恶意软件。
这封电子邮件是来自地址为ukr.net的网站,这是一个乌克兰的军事电子邮件地址。奇怪的是,研究人员追踪发现该地址与一份公开的斯蒂尔品牌割草机的采购文件有关,该文件是在2016年发布的,并且该订单是由 "Військова частина А2622 "发出,这是一个设在乌克兰切尔尼戈夫的军事单位。攻击者究竟是如何获得该军事电子邮件地址的,目前还不清楚。
这个钓鱼网站是针对那些参与管理乌克兰难民外流的欧洲政府人员进行攻击的。这些被攻击的人员有很明确的职责划分,报告指出,犯罪分子明显更倾向于针对负责运输、财务、预算分配、行政管理以及欧洲境内人口流动的工作人员进行攻击。
报告称,针对这些工作人员进行攻击的目的是要获得有关北约成员国的内部资金、物资以及人员流动的相关情报。
攻击者与白俄罗斯有联系
报告指出,目前还没有确切的证据可以明确地将这次攻击活动与某个特定的威胁攻击者联系起来。不过,研究人员还是注意到这次网络钓鱼活动与去年7月份针对美国网络安全和国防公司的另一次攻击活动有很多的相似之处。
据Proofpoint研究人员称,7月份的攻击活动也是利用了带宏的XLS附件来安装Lua恶意软件,Lua是恶意软件SunSeed使用的编程语言。他们还补充说,该活动利用了一份最近的政府报告作为了进行社会工程学攻击的诱饵。
该活动中所使用的文件名--"简报参与者名单.xls",与这次活动中使用的文件名称有惊人的相似之处。此外,攻击者使用Lua脚本创建了一个与SunSeed样本几乎相同的URI地址,它是由受害者的C盘分区序列号组成的。通过对两个样本中的密码学调用的分析,都使用了相同版本的WiX 3.11.0.1528来创建MSI包。
这些相同的技术使研究人员更有把握地得出结论,这两个攻击活动是由同一个威胁行为者--TA445实施的。据Mandiant称,该组织总部设在明斯克,与白俄罗斯军方有密切联系,并为白俄罗斯政府的国家利益开展攻击业务。同时,白俄罗斯是俄罗斯的一个亲密盟友。
研究人员最后发表了一份免责声明。在战争的最开始,同时也包括在网络空间领域,攻击者就已经加快了攻击活动的步伐。
针对乌克兰的史无前例的攻击行为
这场网络钓鱼攻击活动并不是最近几周才出现的,最近几天网络犯罪分子不断向乌克兰国家发动网络攻击。但是,研究人员指出,虽然这次攻击活动中所使用的技术不是单独针对特定个人的攻击技术,但是如果进行集体部署、并进行高强度的网络攻击,那么它们就会拥有更强大的攻击能力。
comforte AG的安全研究人员通过电子邮件告诉媒体,从这次攻击可以看出威胁者在使用社会工程学战术方面是多么的无情和聪明。
他补充说,这种情况突出了每个企业都应该注意的两个关键点。第一,仅仅零星地对员工进行有关常见的社会工程战术的教育是远远不够的。公司需要让员工以怀疑的态度对待每封电子邮件。第二,即使你觉得你所储存的核心数据资产是万无一失的,也要保护好所有企业的数据,而不仅仅是在周边的安全上。
本文翻译自:https://threatpost.com/phishing-campaign-targeted-those-aiding-ukraine-refugees/178752/如若转载,请注明原文地址。
