烏克蘭政府實體在其網(wǎng)絡安裝了帶有木馬ISO文件的Windows 10程序后，遭到了有針對性的黑客攻擊。

這些惡意安裝程序所加載的惡意軟件能夠從被攻擊的計算機中收集數(shù)據(jù)，部署額外的惡意工具，并將竊取的數(shù)據(jù)滲透到攻擊者控制的服務器。

在這次活動中推送的ISO文件中有一個是由2022年5月創(chuàng)建的托管在toloka[.]to烏克蘭洪流跟蹤器上。

網(wǎng)絡安全公司Mandiant說：ISO被配置為禁用Windows計算機將發(fā)送至微軟的典型安全遙測，并阻止自動更新和許可證驗證。此次的攻擊活動，無論是從通過竊取可賺錢的信息還是部署勒索軟件或加密軟件，都沒有跡象表明入侵的經(jīng)濟動機。

在分析烏克蘭政府網(wǎng)絡上的幾個受感染的設備時，Mandiant還發(fā)現(xiàn)了2022年7月中旬設置的預定任務，旨在接收將通過PowerShell執(zhí)行的命令。

在最初的偵察之后，攻擊者還部署了Stowaway、Beacon和Sparepart后門，使他們能夠保持對被攻擊的計算機的訪問，執(zhí)行命令，傳輸文件，并竊取信息，包括證書和擊鍵。

木馬化的Windows 10 ISO是通過烏克蘭語和俄語的torrent文件共享平臺分發(fā)的，與網(wǎng)絡間諜組織在其基礎設施上托管有效載荷的類似攻擊不同。雖然這些惡意的Windows 10安裝程序不是專門針對烏克蘭政府的，但攻擊者分析了受感染的設備，并對那些被確定為屬于政府實體的設備進行了進一步的、更集中的攻擊。

攻擊者身份有跡可循

這次供應鏈攻擊背后的組織被追蹤為UNC4166，其目標可能是收集和竊取烏克蘭政府網(wǎng)絡的敏感信息。

雖然目前還沒有明確的歸屬，但Mandiant的安全研究人員發(fā)現(xiàn)，在這次活動中被攻擊的組織以前是與俄羅斯軍事情報有聯(lián)系的APT28國家黑客的目標名單上的。

UNC4166的目標與戰(zhàn)爭開始時GRU相關集群用擦拭器攻擊的組織重合。

UNC4166進行后續(xù)互動的組織包括歷史上遭受破壞性刮刀攻擊的組織，自入侵爆發(fā)以來，我們與APT28有關。

APT28至少從2004年開始代表俄羅斯總參謀部主要情報局（GRU）開展活動，并與針對世界各地政府的活動有關，包括2015年對德國聯(lián)邦議會的黑客攻擊和2016年對民主黨國會競選委員會（DCCC）和民主黨全國委員會（DNC）的攻擊。

自從俄羅斯開始入侵烏克蘭以來，多個針對烏克蘭政府和軍事組織的網(wǎng)絡釣魚活動被谷歌、微軟和烏克蘭的CERT標記為APT28行動。

Mandiant補充說：使用木馬化的ISO在間諜行動中是新穎的，包括反偵測能力，表明這一活動背后的組織者有安全意識和耐心，因為該行動需要大量的時間和資源來開發(fā)和等待ISO安裝在受關注的網(wǎng)絡上。

參考來源：https://www.bleepingcomputer.com/news/security/ukrainian-govt-networks-breached-via-trojanized-windows-10-installers/