在与乌克兰有关的攻击中，黑客越来越多地使用“浏览器中的浏览器”技术

一名名为Ghostwriter（又名UNC1151）的白俄罗斯威胁行为人被发现利用最近披露的浏览器中的浏览器（BitB）技术，作为其利用俄罗斯-乌克兰冲突进行的凭证钓鱼活动的一部分。

这种方法通过在浏览器中模拟浏览器窗口来伪装成合法的域，从而可以发起令人信服的社会工程活动。

谷歌的威胁分析小组（TAG）在一份新报告中说：“Ghostwriter参与者很快采用了这项新技术，将其与之前观察到的技术结合起来，在受损网站上托管凭据钓鱼登录页。”该小组利用它将未受怀疑的受害者输入的凭据转移到远程服务器。

在其他利用战争作为钓鱼和恶意软件活动诱饵，欺骗目标打开欺诈电子邮件或链接的组织中，包括野马熊猫和圣甲虫，以及来自伊朗、朝鲜和俄罗斯的民族国家行为者。

名单中还包括好奇峡谷，这是一个黑客团队，被认为是中国人民解放军战略支援部队（PLASSF）的成员，该部队策划了针对乌克兰、俄罗斯、哈萨克斯坦和蒙古政府和军事组织的攻击。

在过去两周内观察到的第三组攻击来自一个名为COLDRIVER（又名Calisto）的俄罗斯黑客组织。塔格说，这位演员针对多个总部位于美国的非政府组织和智库、一个巴尔干国家的军队，以及一名未具名的乌克兰国防承包商，发起了凭证钓鱼活动。

“然而，TAG首次观察到COLDRIVER针对多个东欧国家以及北约卓越中心的军事行动，”TAG研究员比利·伦纳德说。“这些活动是使用新创建的Gmail帐户发送给非谷歌帐户的，因此这些活动的成功率不得而知。”

Viasat在2月24日袭击中崩溃

美国电信公司Viasat透露了2022年2月24日对其KA-SAT网络进行的“多方面、蓄意”网络攻击的细节，恰逢俄罗斯军事入侵乌克兰。

对卫星宽带服务的攻击切断了数万台调制解调器与网络的连接，影响了乌克兰和整个欧洲的几家客户，并影响了德国公司Enercon在中欧的5800台风力涡轮机的运行。

“我们认为袭击的目的是中断服务，”该公司解释道。“没有证据表明任何最终用户数据被访问或泄露，客户个人设备（个人电脑、移动设备等）被不当访问，也没有证据表明KA-SAT卫星本身或其配套卫星地面基础设施本身直接参与、受损或泄露。”

Viasat将此次攻击与“地面网络入侵”联系起来，该攻击利用VPN设备中的错误配置，远程访问KA-SAT网络，并在调制解调器上执行破坏性命令，“将关键数据过度写入闪存”，使其暂时无法访问网络。

俄罗斯持不同政见者遭到袭击

这些无情的攻击是东欧持续冲突后出现的一长串恶意网络活动中的最新一次，政府和商业网络遭受了一系列破坏性数据感染，以及一系列正在进行的分布式拒绝服务（DDoS）攻击。

据Malwarehuntertem的研究人员称，这还采取了损害合法WordPress网站的形式，以注入恶意JavaScript代码，目的是对乌克兰域名进行DDoS攻击。

但不仅仅是乌克兰。Malwarebytes实验室本周公布了一项针对俄罗斯公民和政府实体的新型矛式网络钓鱼活动的细节，试图在受损系统上部署有害的有效载荷。

侯赛因·贾齐说：“斯皮尔网络钓鱼邮件警告人们使用俄罗斯政府禁止的网站、社交网络、即时通讯和VPN服务，并将对他们提起刑事指控”。“受害者被引诱打开恶意附件或链接以了解更多信息，结果却感染了Cobalt Strike。”

这些带有恶意软件的RTF文档包含对广泛滥用的MSHTML远程代码执行漏洞（CVE-2021-40444）的攻击，导致执行JavaScript代码，生成PowerShell命令，下载并执行从远程服务器检索的Cobalt Strike beacon。

另一组活动可能涉及到一个被跟踪的“碳蜘蛛”（AKA FIN）的俄罗斯威胁演员，该组织采用了类似的面向马尔科斯的攻击向量，该载体设计了一个能够移除和运行下一阶段可执行文件的基于PuxBeice的后门。

Malwarebytes还表示，它已检测到“在乌克兰被用于窃取信息或以其他方式获取访问权限的恶意软件家族大幅上升”，包括Hacktool。LOIC、安斯洛蠕虫、FFDroider、Formbook、Remcos和类星体鼠。

Malwarebytes实验室主任亚当·库贾瓦（Adam Kujawa）在与《黑客新闻》（Hacker News）分享的一份声明中说：“虽然这些家庭在网络安全领域都相对常见，但我们几乎恰好在俄罗斯军队越过乌克兰边境时目睹了这些家庭的激增，这一事实使这些发展变得有趣而不同寻常”。