微软公布了最近网络黑客活动的详细信息,这些黑客很可能与俄罗斯联邦安全局(FSB)结盟,他们的目标是乌克兰政府、安全机构和援助组织。
微软表示,自去年10月以来,这个名为Actinium的黑客组织一直在“攻击或侵入”乌克兰应急响应组织的账户。Actinium公司在一份新报告中表示,黑客还将目标对准了协调向乌克兰提供国际和人道主义援助的组织。
微软表示:“自2021年10月以来,Actinium针对或泄露了一些对应急反应和确保乌克兰领土安全至关重要的组织的账户,以及在危机中参与协调向乌克兰分配国际和人道主义援助的组织的账户。”
SEE:网络安全:让我们获得战术(ZDNet特别报道)
领导乌克兰反情报工作的乌克兰安全局(SSU)称该组织为世界末日。SSU已经追踪到该组织最早的活动至少在2014年,并表示该组织主要通过网络钓鱼和恶意软件在克里米亚收集情报。
世界末日(Armageddon)以粗暴而无耻的网络攻击而闻名,这些攻击旨在从乌克兰安全、国防和执法机构收集情报。
微软把报告的重点放在了锕近期的活动上,因为人们越来越担心俄罗斯似乎准备入侵乌克兰。
微软表示,虽然该组织可能没有那么复杂或隐秘,但他们的策略在不断演变,并优先考虑规避反恶意软件。它使用一系列有针对性的“鱼叉式网络钓鱼”电子邮件,使用远程文档模板和远程宏脚本,只感染选定的目标,同时最小化通过附件扫描反恶意软件系统的检测机会。
微软威胁情报中心(MSTIC)说:“使用远程模板注入确保恶意内容只在需要时加载(例如,当用户打开文档时)。”
这有助于攻击者逃避静态检测,例如,系统扫描附件的恶意内容。通过远程承载恶意宏,攻击者还可以控制恶意组件的发送时间和方式,从而防止自动系统获取和分析恶意组件,从而进一步逃避检测。”
该组织还使用了“网络臭虫”,让发送者能够跟踪消息何时被打开和呈现。诱饵文件包括冒充世界卫生组织的文件,其中载有关于COVID-19的最新情况。
网络钓鱼附件包含一个有效载荷,它在一个被破坏的设备上执行二级有效载荷。它使用一系列的“登台”脚本,如严重模糊化的vbscript、模糊化的PowerShell命令、自解压缩文件和LNK文件,并在脚本中通过命名奇怪的计划任务进行备份,以维护持久性。
在一个月的时间里,微软发现Actinium使用了超过25个独特的域名和超过80个独特的IP地址来支持负载staging和它的指挥和控制(C2)基础设施,这表明他们经常修改他们的基础设施来挫败调查。大多数域名的DNS记录每天更改一次,这些域名是通过合法的公司注册商REG.RU注册的。
微软证实,已经观察到该组织使用恶意软件Pterodo来获得对目标网络的交互式访问。在某些情况下,它还使用合法的UltraVNC程序进行目标的交互连接。Actinium的另一个关键恶意软件是QuietSieve,用于从受攻击的主机中过滤数据,并接收和执行运营商的远程负载。
微软注意到,Actinium通过模糊脚本快速开发了一系列具有轻量级功能的有效负载,这些脚本用于在后期部署更高级的恶意软件。这些脚本的敏捷开发,被微软描述为“快速移动的目标,具有高度的变化”,有助于规避反病毒检测。这些下载的例子包括DinoTrain, DilongTrash, Obfuberry, PowerPunch, down和Obfumerry。
美国、欧洲和英国的网络安全官员敦促所有组织加强防御,此前微软在1月份警告称,它在乌克兰的几个系统上发现了破坏性的雨刷恶意软件。
