黑客试图以欧洲官员为目标，获取有关乌克兰难民和物资的信息

一项新的由民族国家发起的网络钓鱼活动的细节已被揭露，该活动将目光投向了欧洲政府实体，被视为试图获取有关该地区难民和物资流动的情报。

企业安全公司Proofpoint于2022年2月24日首次检测到这些恶意电子邮件，并将其称为“社会工程攻击”庇护伏击."

研究人员迈克尔·拉吉（Michael Raggi）和齐德卡·卡斯（Zydeca Cass）在周二发布的一份报告中说：“电子邮件中包含一个恶意的宏附件，它利用了与2022年2月23日北约安全理事会紧急会议有关的社会工程主题。”。

“该电子邮件还包含一个恶意附件，试图下载名为SunSeed的恶意Lua恶意软件，目标是负责管理欧洲交通和人口流动的欧洲政府人员。”

该调查结果基于乌克兰国家特别通信和信息保护局（DSSZZI）发布的一项咨询意见，该机构上周警告称，针对其军事人员的网络钓鱼邮件带有ZIP文件附件，目的是窃取敏感的个人信息。

Proofpoint拒绝将新观察到的活动归因于特定的威胁行为体，但指出，两组攻击、使用的网络钓鱼诱饵和受害者模式的时间重叠，与名为UNC1151（又名TA445或Ghostwriter）的白俄罗斯民族国家组织的时间重叠一致。

庇护伏击的一个值得注意的方面是，可能会使用一名受攻击的乌克兰武装部队成员的电子邮件帐户来播放带有恶意软件的电子邮件，其中包含一个启用宏的XLS文件，该文件将SunSeed发送到受感染的主机上，这意味着最近的活动可能是这些攻击的继续。

研究人员指出：“在2022年2月23日的北约安全理事会会议和2022年2月21日开始在西方媒体上流传的关于俄罗斯政府针对乌克兰人的“杀戮名单”的新闻报道之后，这场网络钓鱼活动中使用的社会工程诱饵非常及时。”。

SunSeed则充当一个下载程序，与参与者控制的服务器建立通信，以检索下一阶段的有效负载以供执行。

这家总部位于桑尼维尔的网络安全公司指出，这些攻击特别挑出了负责欧洲境内交通、财政和预算分配、管理和人口流动的个人。

这一消息披露之际，俄罗斯对乌克兰的军事入侵加剧了网络空间的两极分化，黑客活动主义者、网络罪犯、白帽研究人员和科技公司在冲突中选择了一方。

在今天早些时候发布的另一份更新中，乌克兰计算机应急响应团队（CERT-UA）将目前的事态发展描述为“信息和心理战争”，敦促该国民众仔细监控自己的账户，寻找无法识别的设备，开启双因素认证，并使用端到端加密的消息应用程序。

此外，电子邮件安全公司Avanan表示，从2月27日开始，来自俄罗斯的电子邮件攻击增加了八倍，其中至少有一些针对美国和欧洲的制造业、国际航运和运输公司。

研究人员说：“鉴于正在进行的俄乌战争，TA445等代理行为体的行动将继续针对欧洲各国政府，以收集有关乌克兰难民流动和对俄罗斯政府重要问题的情报。”。