根據(jù)一份最新的報(bào)告，網(wǎng)絡(luò)攻擊者利用了一個(gè)被攻擊的烏克蘭軍方的電子郵箱，對(duì)管理逃離烏克蘭的難民工作的歐盟政府雇員進(jìn)行了網(wǎng)絡(luò)釣魚攻擊。

在最近的幾周和幾個(gè)月，烏克蘭一直處于前所未有的網(wǎng)絡(luò)攻擊旋渦之中，從針對(duì)組織和公民發(fā)動(dòng)的分布式拒絕服務(wù)(DDoS)攻擊到針對(duì)國家基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊等等。這一次，攻擊者盯上了歐盟的工作人員，利用俄羅斯入侵烏克蘭的重大新聞，引誘目標(biāo)打開含有微軟Excel文件的電子郵件，其中包含了惡意軟件。

研究人員認(rèn)為這一網(wǎng)絡(luò)釣魚攻擊是TA445(又名UNC1151或Ghostwriter)組織進(jìn)行的。TA445以前曾與白俄羅斯政府有過聯(lián)系。

此次攻擊與俄羅斯的入侵同時(shí)發(fā)生

2月23日星期三，北約就俄羅斯即將入侵烏克蘭的問題召開了一次緊急會(huì)議。

第二天，俄羅斯入侵烏克蘭，研究人員發(fā)現(xiàn)有一封可疑的電子郵件一直在流傳。郵件主題是"根據(jù)2022年2月24日烏克蘭安全委員會(huì)緊急會(huì)議的決定"。它包含了一個(gè)具有宏功能的Excel(.xls)電子表格，其標(biāo)題為 "人員名單.xlsx"，文件打開后會(huì)運(yùn)行一個(gè)名為SunSeed的惡意軟件。

這封電子郵件是來自地址為ukr.net的網(wǎng)站，這是一個(gè)烏克蘭的軍事電子郵件地址。奇怪的是，研究人員追蹤發(fā)現(xiàn)該地址與一份公開的斯蒂爾品牌割草機(jī)的采購文件有關(guān)，該文件是在2016年發(fā)布的，并且該訂單是由 "В?йськова частина А2622 "發(fā)出，這是一個(gè)設(shè)在烏克蘭切爾尼戈夫的軍事單位。攻擊者究竟是如何獲得該軍事電子郵件地址的，目前還不清楚。

這個(gè)釣魚網(wǎng)站是針對(duì)那些參與管理烏克蘭難民外流的歐洲政府人員進(jìn)行攻擊的。這些被攻擊的人員有很明確的職責(zé)劃分，報(bào)告指出，犯罪分子明顯更傾向于針對(duì)負(fù)責(zé)運(yùn)輸、財(cái)務(wù)、預(yù)算分配、行政管理以及歐洲境內(nèi)人口流動(dòng)的工作人員進(jìn)行攻擊。

報(bào)告稱，針對(duì)這些工作人員進(jìn)行攻擊的目的是要獲得有關(guān)北約成員國的內(nèi)部資金、物資以及人員流動(dòng)的相關(guān)情報(bào)。

攻擊者與白俄羅斯有聯(lián)系

報(bào)告指出，目前還沒有確切的證據(jù)可以明確地將這次攻擊活動(dòng)與某個(gè)特定的威脅攻擊者聯(lián)系起來。不過，研究人員還是注意到這次網(wǎng)絡(luò)釣魚活動(dòng)與去年7月份針對(duì)美國網(wǎng)絡(luò)安全和國防公司的另一次攻擊活動(dòng)有很多的相似之處。

據(jù)Proofpoint研究人員稱，7月份的攻擊活動(dòng)也是利用了帶宏的XLS附件來安裝Lua惡意軟件，Lua是惡意軟件SunSeed使用的編程語言。他們還補(bǔ)充說，該活動(dòng)利用了一份最近的政府報(bào)告作為了進(jìn)行社會(huì)工程學(xué)攻擊的誘餌。

該活動(dòng)中所使用的文件名--"簡報(bào)參與者名單.xls"，與這次活動(dòng)中使用的文件名稱有驚人的相似之處。此外，攻擊者使用Lua腳本創(chuàng)建了一個(gè)與SunSeed樣本幾乎相同的URI地址，它是由受害者的C盤分區(qū)序列號(hào)組成的。通過對(duì)兩個(gè)樣本中的密碼學(xué)調(diào)用的分析，都使用了相同版本的WiX 3.11.0.1528來創(chuàng)建MSI包。

這些相同的技術(shù)使研究人員更有把握地得出結(jié)論，這兩個(gè)攻擊活動(dòng)是由同一個(gè)威脅行為者--TA445實(shí)施的。據(jù)Mandiant稱，該組織總部設(shè)在明斯克，與白俄羅斯軍方有密切聯(lián)系，并為白俄羅斯政府的國家利益開展攻擊業(yè)務(wù)。同時(shí)，白俄羅斯是俄羅斯的一個(gè)親密盟友。

研究人員最后發(fā)表了一份免責(zé)聲明。在戰(zhàn)爭的最開始，同時(shí)也包括在網(wǎng)絡(luò)空間領(lǐng)域，攻擊者就已經(jīng)加快了攻擊活動(dòng)的步伐。

針對(duì)烏克蘭的史無前例的攻擊行為

這場網(wǎng)絡(luò)釣魚攻擊活動(dòng)并不是最近幾周才出現(xiàn)的，最近幾天網(wǎng)絡(luò)犯罪分子不斷向?yàn)蹩颂m國家發(fā)動(dòng)網(wǎng)絡(luò)攻擊。但是，研究人員指出，雖然這次攻擊活動(dòng)中所使用的技術(shù)不是單獨(dú)針對(duì)特定個(gè)人的攻擊技術(shù)，但是如果進(jìn)行集體部署、并進(jìn)行高強(qiáng)度的網(wǎng)絡(luò)攻擊，那么它們就會(huì)擁有更強(qiáng)大的攻擊能力。

comforte AG的安全研究人員通過電子郵件告訴媒體，從這次攻擊可以看出威脅者在使用社會(huì)工程學(xué)戰(zhàn)術(shù)方面是多么的無情和聰明。

他補(bǔ)充說，這種情況突出了每個(gè)企業(yè)都應(yīng)該注意的兩個(gè)關(guān)鍵點(diǎn)。第一，僅僅零星地對(duì)員工進(jìn)行有關(guān)常見的社會(huì)工程戰(zhàn)術(shù)的教育是遠(yuǎn)遠(yuǎn)不夠的。公司需要讓員工以懷疑的態(tài)度對(duì)待每封電子郵件。第二，即使你覺得你所儲(chǔ)存的核心數(shù)據(jù)資產(chǎn)是萬無一失的，也要保護(hù)好所有企業(yè)的數(shù)據(jù)，而不僅僅是在周邊的安全上。

本文翻譯自：https://threatpost.com/phishing-campaign-targeted-those-aiding-ukraine-refugees/178752/如若轉(zhuǎn)載，請(qǐng)注明原文地址。