俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击

作者：aqniu 日期：2024年03月22日阅：1,706

自2022年俄乌冲突爆发后，网络攻击已经成为这场军事战争的家常便饭，交战双方以及其他国家都遭受了不同程度的网络攻击。近日，瑞星威胁情报中心捕获到一起针对白俄罗斯政府的APT攻击事件。攻击者伪装成俄罗斯特殊材料公司会计，向白俄罗斯布雷斯特市政府人员发送钓鱼邮件，企图窃取敏感信息。

通过分析攻击手法发现，此次事件的攻击者为UAC-0050组织，该组织曾以攻击乌克兰政府机构而闻名，惯用手法就是通过网络钓鱼攻击来传播恶意软件，达到窃密和远程控制的目的。

此次攻击也不例外，该组织假冒成俄罗斯特殊材料公司会计，向白俄罗斯布雷斯特市政府人员发送了一封精心设计的钓鱼邮件，邮件内容为“发件人公司已经支付了新订单的发票，现在要求收件人参阅随附的付款确认信息”，以此诱导目标点击邮件附件。

在邮件附件中，虽然打开后里面存有很多貌似支付细节的图片，但实际上暗藏了恶意链接，只要打开它，就会进行自动访问，下载公式编辑器漏洞CVE-2017-11882的RTF文档，进一步再去访问攻击者指定的网址下载恶意脚本，最终通过脚本进行一系列操作来运行Remcos远控程序。

瑞星安全专家介绍，Remcos远控软件本身是一家名为BreakingSecurity的德国公司以远程控制和监视为名出售的商业工具，具有远程桌面控制、键盘记录、摄像头和音频监视、浏览器数据抓取、文件管理等功能。但由于功能强大，常被黑客和攻击者用来进行恶意活动。在此次事件中，UAC-0050组织就利用了这个软件来进行窃密和间谍活动。

目前，国际安全形势持续紧张，针对国家和政府的网络攻击活动日益增多，尤其是国家军事、情报、战略部门，和影响国计民生的行业，更是APT组织攻击的重点目标。因此，国内相关政府部门和企业都应引起重视，做好以下防范措施：

1. 不打开可疑文件。

不打开未知来源的可疑的文件和邮件，防止社会工程学和钓鱼攻击。

2. 部署EDR、NDR产品。

利用威胁情报追溯威胁行为轨迹，进行威胁行为分析，定位威胁源和目的，追溯攻击的手段和路径，从源头解决网络威胁，最大范围内发现被攻击的节点，以便更快响应和处理。

3. 安装有效的杀毒软件，拦截查杀恶意文档和恶意程序。

杀毒软件可拦截恶意文档和恶意程序，如果用户不小心下载了恶意文件，杀毒软件可拦截查杀，阻止病毒运行，保护用户的终端安全。