自從俄羅斯開始入侵烏克蘭以來,俄羅斯一直在使用包括網絡戰在內的各種策略來扭轉局面。現在,根據烏克蘭計算機應急響應小組 (CERT-UA) 的安全研究人員的說法,來自 APT28 組織的俄羅斯國家資助的黑客是 使用偽裝成 Windows 更新的惡意軟件瞄準烏克蘭政府僱員以竊取重要信息。
這些攻擊涉及俄羅斯黑客發送惡意電子郵件,其中包含有關如何更新 Windows 以防禦網絡攻擊的說明。但是,該電子郵件沒有提供合法的說明,而是包含一個下載 PowerShell 腳本的 PowerShell 命令。然後,此腳本模擬虛假的 Windows 更新,同時在後台下載第二個有效負載,這是一個通過 HTTP 請求收集數據並將數據發送到 Mocky 服務 API 的工具。此外,為了讓這些惡意電子郵件看起來更可信,攻擊者還使用系統管理員的真實姓名創建了假的@outlook.com 電子郵件地址。
為了防止員工成為此次攻擊的受害者, CERT-UA 已建議所有系統管理員限制在關鍵計算機上啟動 PowerShell 和監控網絡流量以連接到 Mocky 服務 API 的能力。
不是針對烏克蘭的唯一網絡攻擊
俄羅斯和烏克蘭之間的戰爭已經持續了一年多,這並不是國家支持的 APT28 組織第一次與對烏克蘭的網絡攻擊有關。事實上,谷歌的威脅分析小組最近報告說,針對烏克蘭的網絡攻擊和網絡釣魚電子郵件總數中有超過 60% 來自俄羅斯,其中很大一部分是由 APT28 發起的。
隨著戰爭繼續延長並且烏克蘭設法站穩腳跟,俄羅斯可能會發動新形式的攻擊來削弱烏克蘭的防禦。因此,公司和政府實體必須培訓員工識別和報告可疑電子郵件,並使所有軟件保持最新狀態。
