乌克兰警告网络攻击旨在入侵用户电报信使账户

乌克兰技术安全和情报局警告称，新一波网络攻击旨在获取用户电报账户。

乌克兰国家特别通信和信息保护局（SSSCIP）在一份警报中表示：“犯罪分子向电报网站发送带有恶意链接的消息，以获得对记录的未经授权访问，包括可能从短信中传输一次性代码”。

这些攻击被认为是由一个名为“UAC-0094”的威胁集群发起的，它们发出电报消息，提醒收件人已检测到来自俄罗斯新设备的登录，并敦促用户通过点击链接确认其帐户。

该URL实际上是一个网络钓鱼域名，它会提示受害者输入自己的电话号码以及通过短信发送的一次性密码，然后被威胁行为人用来接管账户。

这一作案手法与3月初披露的一次较早的网络钓鱼攻击类似，该攻击利用印度不同实体的受损收件箱向Ukr用户发送网络钓鱼电子邮件。net来劫持帐户。

在乌克兰计算机应急响应小组（CERT-UA）观察到的另一场社会工程活动中，向乌克兰政府机构发送了与战争有关的电子邮件诱饵，以部署一个间谍恶意软件。

这些电子邮件带有一个HTML文件附件（“俄罗斯联邦战犯”。htm”），开头是下载并在受感染主机上执行一个基于PowerShell的植入程序。

CERT-UA将此次袭击归咎于“世界末日”组织，该组织总部设在俄罗斯，与俄罗斯联邦安全局(FSB)有联系，至少从2013年起就有袭击乌克兰实体的历史。

2022年2月，该黑客组织与针对政府、军队、非政府组织（NGO）、司法、执法和非营利组织的间谍攻击有关，其主要目标是泄露敏感信息。

世界末日（Armageddon，又名Gamaredon）也被认为在2022年3月底的一次相关网络钓鱼攻击中挑出了拉脱维亚政府官员，利用以战争为主题的RAR档案发送恶意软件。

CERT-UA最近几周记录的其他网络钓鱼活动部署了多种恶意软件，包括GraphSteel、GrimPlant、HeaderTip、LoadEdge和SPECTR，更不用说安装Cobalt Strike post剥削框架的幽灵写手先锋行动了。

据SentinelOne称，与名为UAC-0056（又名SaintBear，UNC2589，TA471）的威胁参与者有关的GrimPlant和GraphSteel攻击据信已于2022年2月初开始，SentinelOne将有效载荷描述为有害的二进制文件，旨在进行侦察、获取凭证和运行任意命令。

圣母熊也被评估为在2022年1月初影响乌克兰政府机构的窃窃私语活动的背后，演员为GrP植入和GraphSteel战役的基础设施准备在2021年12月开始。

上周，Malwarebytes Labs和Intezer让黑客团队参与了3月底针对乌克兰组织的一系列新攻击，其中包括一家名为ICTV的私人电视频道，通过一个包含宏嵌入Excel文档的矛式钓鱼诱饵，导致GrimPlant后门（又名大象植入）的分发。

这一消息披露之际，来自伊朗、中国、朝鲜和俄罗斯的几家高级持续威胁组织（APT）利用正在进行的俄罗斯-乌克兰战争作为后门受害者网络和其他恶意活动的借口。