sharejetso
sharejetso
sharejetso

針對烏克蘭攻擊中發現的惡意軟體發布新的網絡入侵指標

2022/08/02 10:47:58 網誌分類: 時事
02 Aug

美國網絡司令部 (U.S. CYBER COMMAND) 上星期公開了新的入侵指標 (Indicator of compromise - IOCs),通過IOCs使用戶能夠在該主機系統或網絡中搜索和識別惡意軟體,作為查找主機系統或網絡被入侵的證據,更能充當潛在漏洞的網絡防禦者的數位取證。美國與烏克蘭安全局合作,於烏克蘭網絡中分析新發現的各種惡意軟件,其中包括 20 個前所未見的惡意程式樣本。

烏克蘭的公共和私人個體成為了網絡間諜組織的目標,這些組織使用網絡釣魚和誘餌,並在入侵中使用的惡意軟體支援多種操作,而這些組織此前曾進行過間諜活動、虛假訊息操作和破壞性攻擊等。

除了官方的數據,網絡安全威脅情報公司 Mandiant, Inc. (NASDAQ: MNDT) 發表研究報告,表示白俄羅斯和俄羅斯政府有關的網絡間諜組織,包括 UNC1151 或 UNC2589的網絡入侵並沒停止。

針對烏克蘭的駭客組織是 UNC1151,與白俄羅斯情報部門有關連,並經常使用其入侵獲得的訪問權限和訊息來支援以 “Ghostwriter” 執行訊息操作。 Mandiant 去年發布了一篇博客,詳細介紹了對 UNC1151 的評估,自俄羅斯入侵開始以來,他們一直非常積極地針對烏克蘭。該駭客組織使用了基於 Cobalt Strike 框架的BEACON (一個以C/C++ 編寫的後門程式,具有檔案傳輸、執行及管理和shell 命令執行功能) 和 MICROBACKDOOR (作為客戶端后門和服務器端工具,可以傳輸檔案、執行命令、截圖和自我更新) 的惡意軟體。

另一個活躍在烏克蘭的駭客組織是俄羅斯國家級駭客UNC2589,研究人員認為,該駭客組織是 1 月份透過 PAYWIPE (WHISPERGATE)惡意軟體對烏克蘭進行破壞性攻擊的幕後黑手。在破壞性攻擊之後,UNC2589 主要針對烏克蘭,但也積極針對北美和歐洲的北約成員國。UNC2589 擅長網絡釣魚,透過 Covid-19、政府相關誘餌、烏克蘭戰事等主題來部署惡意軟體 GRIMPLANT (一種基於 Go 或稱為Golang 的後門程式,用於執行系統監視和命令執行) 和 GRAPHSTEEL (同樣是以 Go 的後門程式執行,可以從目標系統中收集各種類型的資料)。

回應 (0)
我要發表
user