因安装木马化的Win10应用程序,乌克兰政府网络被攻破
乌克兰政府实体在其网络安装了带有木马ISO文件的Windows 10程序后,遭到了有针对性的黑客攻击。这些恶意安装程序所加载的恶意软件能够从被攻击的计算机中收集数据,部署额外的恶意工具,并将窃取的数据渗透到攻击者控制的服务器。
在这次活动中推送的ISO文件中有一个是由2022年5月创建的托管在toloka[.]to乌克兰洪流跟踪器上。
网络安全公司Mandiant说:ISO被配置为禁用Windows计算机将发送至微软的典型安全遥测,可以阻止自动更新和许可证验证。此次的攻击活动,无论是从通过窃取可赚钱的信息还是部署勒索软件或加密软件,都没有迹象表明入侵的经济动机。
在分析乌克兰政府网络上的几个受感染的设备时,Mandiant还发现了2022年7月中旬设置的预定任务,旨在接收将通过PowerShell执行的命令。
在最初的侦察之后,攻击者还部署了Stowaway、Beacon和Sparepart后门,使他们能够保持对被攻击的计算机的访问,执行命令,传输文件,并窃取信息,包括证书和击键。
木马化的Windows 10 ISO是通过乌克兰语和俄语的torrent文件共享平台分发的,与网络间谍组织在其基础设施上托管有效载荷的类似攻击不同。虽然这些恶意的Windows 10安装程序不是专门针对乌克兰政府的,但攻击者分析了受感染的设备,并对那些被确定为属于政府实体的设备进行了进一步的、更集中的攻击。
攻击者身份有迹可循
这次供应链攻击背后的组织被追踪为UNC4166,其目标可能是收集和窃取乌克兰政府网络的敏感信息。
虽然目前还没有明确的归属,但Mandiant的安全研究人员发现,在这次活动中被攻击的组织以前是与俄罗斯军事情报有联系的APT28国家黑客的目标名单上的。
UNC4166的目标与战争开始时GRU相关集群用擦拭器攻击的组织重合。UNC4166进行后续互动的组织包括历史上遭受破坏性刮刀攻击的组织,自入侵爆发以来,我们与APT28有关。
APT28至少从2004年开始代表俄罗斯总参谋部主要情报局(GRU)开展活动,并与针对世界各地政府的活动有关,包括2015年对德国联邦议会的黑客攻击和2016年对民主党国会竞选委员会(DCCC)和民主党全国委员会(DNC)的攻击。
自从俄罗斯开始入侵乌克兰以来,多个针对乌克兰政府和军事组织的网络钓鱼活动被谷歌、微软和乌克兰的CERT标记为APT28行动。
Mandiant补充说:使用木马化的ISO在间谍行动中是新颖的,包括反侦测能力,表明这一活动背后的组织者有安全意识和耐心,因为该行动需要大量的时间和资源来开发和等待ISO安装在受关注的网络上。
参考来源:
https://www.bleepingcomputer.com/news/security/ukrainian-govt-networks-breached-via-trojanized-windows-10-installers/
相关文章
- pycharm安装三方库_pycharm无网络安装第三方库
- 怎么安装linux和win10双系统,在Win10下安装Linux双系统的方法
- EndNote X8软件下载和安装教程
- Adobe Acrobat PDF编辑器全版本软件下载安装教程安装序列号
- 网络工程师学Python-1.5-安装常用Python库
- 网络视频监控如何入门?如何安装和配置、设备选择和实时监控?
- Linux安装BBR:快速提升网络性能(linux安装bbr)
- 使用U盘安装Linux系统(给u盘添加linux引导)
- Linux下实现双系统极速安装(在linux下安装双系统)
- Win10下安装Oracle11g成功!(win10安装oracle11g)
- Win10下轻松安装虚拟Linux系统(win10虚拟linux)
- 安装Oracle:网络配置指南(oracle安装网络配置)
- Linux安装NS2网络模拟仿真指南(linux安装ns2)
- Linux下安装NS2网络仿真系统(linux安装ns2)
- Linux环境下安装NS2网络仿真软件(linux安装ns2)
- 使用VHD实现Linux安装(vhd安装linux)
- Qt for Linux:下载与安装指南(qt下载linux)
- 快速搭建网络:Linux DHCP安装指南(linuxdhcp安装)
- MySQL在Win10下的安装指南(mysql安装win10)
- 简单易懂的Linux安装SMB指南:快速架设文件共享网络!(linux安装smb)
- Linux上网络监控工具ntopng 的安装
- 检查Redis安装确保更安全的网络环境(检测redis安装好)
- Win下快速安装Redis一步到位(win版本redis下载)
- MySQL应该安装在其他盘符,不要选择C盘进行安装(mysql不安装在c盘)