多个黑客组织利用乌克兰冲突传播恶意软件

2022年3月中旬，来自世界各地的至少三个不同的高级持久性威胁（APT）组织发起了矛式网络钓鱼活动，利用正在进行的俄罗斯-乌克兰战争作为诱饵，传播恶意软件和窃取敏感信息。

这些运动由El弯刀、Lyceum和SideWinder发起，针对的是多个部门，包括尼加拉瓜、委内瑞拉、以色列、沙特阿拉伯和巴基斯坦的能源、金融和政府部门。

Check Point Research在一份报告中称，“攻击者使用的诱饵范围从官方文件到新闻文章，甚至是工作公告，具体取决于目标和地区。”。“许多诱饵文档利用恶意宏或模板注入在目标组织中获得初始立足点，然后发起恶意软件攻击。”

卡巴斯基于2014年8月首次记录了说西班牙语的威胁行为人El Bachete的感染链，涉及使用带有宏的诱饵文件部署名为Loki的开源远程访问特洛伊木马。Rat能够获取击键、凭证和剪贴板数据，以及执行文件操作和执行任意命令。

第二个活动是伊朗APT组织Lyceum发起的，Check Point表示，该组织利用一封据称是关于“俄罗斯在乌克兰的战争罪行”的电子邮件发起了一次网络钓鱼攻击，以交付第一阶段。NET和Golang Dropper，然后使用它们部署一个后门来运行从远程服务器检索的文件。

另一个例子是SideWinder，这是一个由国家资助的黑客团队，据说其活动是为了支持印度的政治利益，并特别关注其邻国中国和巴基斯坦。在本例中，攻击序列使用了一个武器化的文档，该文档利用Microsoft Office（CVE-2017-11882）中的等式编辑器漏洞来分发窃取信息的恶意软件。

这些发现与谷歌威胁分析小组（TAG）发出的类似警告相呼应。该小组披露，伊朗、中国、朝鲜和俄罗斯等国家支持的威胁组织以及许多其他犯罪和经济动机的参与者正在利用网络钓鱼活动、在线勒索企图和其他恶意活动中与战争相关的主题。

这家以色列公司说：“虽然公众的注意力通常不会长时间停留在一个问题上，但俄罗斯-乌克兰战争显然是个例外。”。“这场战争影响到世界各地的多个地区，并可能产生深远的影响。因此，我们可以预计，APT威胁行动方将继续利用这场危机，为间谍目的开展有针对性的网络钓鱼活动。”