谷歌公司警告说,在俄罗斯针对乌克兰进行地面战争的同时,隶属于或支持弗拉基米尔-普京政府的高级持续性威胁(APT)组织正在网络空间内加强对乌克兰和欧洲组织的网络钓鱼和其他攻击。
谷歌TAG软件工程总监Shane Huntley在周一发表的一篇博文中写道,谷歌威胁分析小组(TAG)的研究人员发现,被称为FancyBear/APT28和Ghostwriter/UNC1151的威胁组织进行的间谍活动和网络钓鱼活动都有所增加。其中前者被认为是俄罗斯的GRU情报机构,而后者是乌克兰曾报道过的白俄罗斯国防部的一个攻击者。
同时,据Google TAG称,最近出现了一系列的针对乌克兰政府网站的分布式拒绝服务(DDoS)攻击,其中被攻击的目标包括了外交部和内政部,以及帮助乌克兰人寻找帮助的政府服务,如Liveuamap。
最近"Mustang Panda"黑客组织也加入了战局,在最近的一次网络钓鱼活动中,利用乌克兰的战争局势作为诱饵攻击欧洲的相关机构。
Huntley在帖子中写道,我们分享这些信息是为了帮助提高社区的安全意识和用户的风险意识。
钓鱼网站的流行
Fancy Bear是对2020年东京奥运会以及欧盟选举进行攻击的APT组织,最近一直在针对ukr.net(由乌克兰媒体公司URKNet建立的网站)的用户进行了几个大型的凭证钓鱼攻击活动。
根据该帖子,这些钓鱼邮件是从大量的被攻击的账户(非Gmail/Google)中发出的,其中还包括了由攻击者所控制的域链接。
在最近的两个攻击活动中,TAG看到攻击者使用了新创建的Blogspot域名作为了用户的初始登陆页面,然后将目标重定向到了证书钓鱼页面。Huntley补充说,目前,所有已知的由攻击者所控制的Blogspot域名都已被删除。
同时,根据Google TAG,Ghostwriter在过去的一周对波兰、乌克兰政府以及军事组织进行了类似的网络钓鱼活动。该组织还一直针对该地区的以下供应商的网络邮件用户进行了攻击。
- i.ua。
- meta.ua。
- ranbler.ru。
- ukr.net。
- wp.pl。
- yandex.ru。
根据该帖子,谷歌TAG阻止了研究人员在攻击活动期间通过谷歌安全浏览所观察到的一些凭证式网络钓鱼域。这些域名包括:accounts[.]secure-ua[.]website, i[.]ua-passport[.]top, login[.]creditals-email[.]space, post[.]mil-gov[.]space and verify[.]rambler-profile[.]site。
充分利用当前的冲突局势进行钓鱼攻击
Mustang Panda组织(又名Temp.Hex、HoneyMyte、TA416或RedDelta)也不甘示弱,正在利用与乌克兰冲突有关的网络钓鱼诱饵来攻击欧洲组织。
Huntley在帖子中解释说,TAG发现了一个文件名为'欧盟与乌克兰边境局势.zip'的恶意附件,其中包含了一个同名的可执行文件,这是一个恶意文件下载器。当该文件执行时,该文件会下载几个其他的文件,然后安装恶意有效载荷。
Huntley指出,一些APT组织对欧洲发动攻击,这其实可以看出该威胁攻击者的攻击策略发生了转变。他们通常情况下是以东南亚的实体为目标。但Mustang Panda之前就一直活跃在针对欧盟实体的攻击中,其中最引人注目的是在2020年9月以罗马的梵蒂冈和天主教会相关组织为目标的鱼叉式钓鱼活动。
Huntley指出,为了减缓APT组织的最新网络攻击,TAG目前已经向有关当局通报了其发现的信息。
扩大DdoS的保护范围
随着APTs加强了针对乌克兰目标的网络钓鱼攻击力度,该国的关键政府网站以及服务型网站也会面临着新一轮的DDoS攻击。
Huntley写道,由于这些攻击可能会继续下去,谷歌目前已经扩大了Project Shield的资格,该公司的免费的DDoS攻击保护为包括乌克兰政府网站、世界各地的大使馆和其他与冲突关系密切的政府网站、以及众多新闻机构在内的150多个机构,提供了这项服务。
该帖子称,Project Shield允许谷歌缓解DDoS攻击中的恶意流量,这样目标组织就可以继续运营并抵御这些攻击。Huntley写道,在DDoS攻击活动增加的情况下,该公司正建议符合条件的组织注册Project Shield。
本文翻译自:https://threatpost.com/russian-apts-phishing-ukraine-google/178819/如若转载,请注明原文地址。
