俄乌冲突加剧网络攻击风险 白俄罗斯政府遭APT攻击
作者: 日期:2024年03月22日 阅:1,842

自2022年俄乌冲突爆发后,网络攻击已经成为这场军事战争的家常便饭,交战双方以及其他国家都遭受了不同程度的网络攻击。近日,瑞星威胁情报中心捕获到一起针对白俄罗斯政府的APT攻击事件。攻击者伪装成俄罗斯特殊材料公司会计,向白俄罗斯布雷斯特市政府人员发送钓鱼邮件,企图窃取敏感信息。

通过分析攻击手法发现,此次事件的攻击者为UAC-0050组织,该组织曾以攻击乌克兰政府机构而闻名,惯用手法就是通过网络钓鱼攻击来传播恶意软件,达到窃密和远程控制的目的。

此次攻击也不例外,该组织假冒成俄罗斯特殊材料公司会计,向白俄罗斯布雷斯特市政府人员发送了一封精心设计的钓鱼邮件,邮件内容为“发件人公司已经支付了新订单的发票,现在要求收件人参阅随附的付款确认信息”,以此诱导目标点击邮件附件。

图:攻击者发送的钓鱼邮件

在邮件附件中,虽然打开后里面存有很多貌似支付细节的图片,但实际上暗藏了恶意链接,只要打开它,就会进行自动访问,下载公式编辑器漏洞CVE-2017-11882的RTF文档,进一步再去访问攻击者指定的网址下载恶意脚本,最终通过脚本进行一系列操作来运行Remcos远控程序。

图:钓鱼邮件附件中貌似支付细节的图片

瑞星安全专家介绍,Remcos远控软件本身是一家名为BreakingSecurity的德国公司以远程控制和监视为名出售的商业工具,具有远程桌面控制、键盘记录、摄像头和音频监视、浏览器数据抓取、文件管理等功能。但由于功能强大,常被黑客和攻击者用来进行恶意活动。在此次事件中,UAC-0050组织就利用了这个软件来进行窃密和间谍活动。

目前,国际安全形势持续紧张,针对国家和政府的网络攻击活动日益增多,尤其是国家军事、情报、战略部门,和影响国计民生的行业,更是APT组织攻击的重点目标。因此,国内相关政府部门和企业都应引起重视,做好以下防范措施:

1. 不打开可疑文件。

不打开未知来源的可疑的文件和邮件,防止社会工程学和钓鱼攻击。   

2. 部署EDR、NDR产品。

利用威胁情报追溯威胁行为轨迹,进行威胁行为分析,定位威胁源和目的,追溯攻击的手段和路径,从源头解决网络威胁,最大范围内发现被攻击的节点,以便更快响应和处理。   

3. 安装有效的杀毒软件,拦截查杀恶意文档和恶意程序。

杀毒软件可拦截恶意文档和恶意程序,如果用户不小心下载了恶意文件,杀毒软件可拦截查杀,阻止病毒运行,保护用户的终端安全。

图:瑞星ESM防病毒终端安全防护系统查杀相关病毒

4. 及时修补系统补丁和重要软件的补丁。

许多恶意软件经常使用已知的系统漏洞、软件漏洞来进行传播,及时安装补丁将有效减少漏洞攻击带来的影响。

文章来源:瑞星

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章