俄罗斯APTs对乌克兰进行疯狂的钓鱼攻击

近日，谷歌警告称，在俄罗斯与乌克兰进行实体战争时，与普京政府有关联或支持普京政府的先进持续威胁（APT）组织正在网络空间中加强针对乌克兰和欧洲组织的网络钓鱼攻击以及其他攻击。

谷歌TAG软件工程总监Huntley在一份报告中写道，谷歌威胁分析小组(TAG)的研究人员发现，来自名为FancyBear/APT28和Ghostwriter/UNC1151的威胁组织的“从间谍活动到网络钓鱼活动”的活动有所增加。前者被认为是俄罗斯GRU情报机构，而后者是一名演员，乌克兰此前表示，他是白俄罗斯国防部的一部分。

同时，根据谷歌标签，最近出现了一系列针对乌克兰政府网站的分布式拒绝服务(DDoS)攻击，如外交部和内政部，以及帮助乌克兰人找到信息的关键服务，如Liveuamap。

最近”Mustang Panda”黑客组织也加入了战局，在最近的一次网络钓鱼活动中，利用乌克兰的战争局势作为诱饵攻击欧洲的相关机构。

网络钓鱼风潮

Fancy Bear是对2020年东京奥运会和欧盟选举发起攻击的幕后策划者，最近的目标是ukr的用户。Huntley写道，该网站由乌克兰媒体公司URKNet所有，拥有“多个大型凭证钓鱼活动”。

“钓鱼邮件是从大量受损账户（非Gmail/Google）发送的，其中包括指向攻击者控制的域的链接，”文章称。

在最近的两次活动中，TAG发现攻击者使用新创建的Blogspot域作为初始登录页，然后将目标重定向到凭据钓鱼页面。亨特利补充说，目前，所有已知的由攻击者控制的Blogspot域都已被删除。

同时，根据Google TAG，Ghostwriter在过去的一周对波兰、乌克兰政府以及军事组织进行了类似的网络钓鱼活动。该组织还一直针对该地区的以下供应商的网络邮件用户进行了攻击。

• i.ua。
• meta.ua。
• ranbler.ru。
• ukr.net。
• wp.pl。
• yandex.ru。

根据该帖子，谷歌TAG阻止了研究人员在攻击活动期间通过谷歌安全浏览所观察到的一些凭证式网络钓鱼域。这些域名包括：accounts[.]secure-ua[.]website,i[.]ua-passport[.]top,login[.]creditals-email[.]space,post[.]mil-gov[.]space and verify[.]rambler-profile[.]site。

利用冲突局势进行钓鱼攻击

Mustang Panda组织(又名Temp.Hex、HoneyMyte、TA416或RedDelta)也不甘示弱，正在利用与乌克兰冲突有关的网络钓鱼诱饵来攻击欧洲组织。

Huntley在帖子中解释说，TAG发现了一个文件名为’欧盟与乌克兰边境局势.zip’的恶意附件，其中包含了一个同名的可执行文件，这是一个恶意文件下载器。当该文件执行时，该文件会下载几个其他的文件，然后安装恶意有效载荷。

Huntley指出，一些APT组织对欧洲发动攻击，这其实可以看出该网络安全威胁攻击者的攻击策略发生了转变。他们通常情况下是以东南亚的实体为目标。但Mustang Panda之前就一直活跃在针对欧盟实体的攻击中，其中最引人注目的是在2020年9月以罗马的梵蒂冈和天主教会相关组织为目标的鱼叉式钓鱼活动。Huntley还表示，为了减缓APT组织的最新网络攻击，TAG目前已经向有关当局通报了其发现的信息。