Follina漏洞被Sandworm黑客组织用来入侵乌克兰

近日，Follina漏洞可能正被俄罗斯Sandworm黑客组织利用。乌克兰计算机应急响应小组 (CERT) 警告，该漏洞编号CVE-2022-30190，是Microsoft Windows 支持诊断工具 (MSDT) 中的一个远程代码执行漏洞，可通过打开或选择特制文档来触发其中的安全漏洞。自2022年4月以来，威胁行为者一直利用它进行网络攻击。

Sandworm黑客组织利用Follina发起攻击

乌克兰情报机构认为这场恶意活动的背后是“Sandworm”黑客组织。CERT-UA表示，俄罗斯黑客利用Follina针对乌克兰各种媒体组织的500多名收件人发起了一项新的恶意电子邮件活动，其中攻击目标包括广播电台和报纸。这些电子邮件的主题是“交互式地图链接列表”，其中还带有一个同名的 .DOCX 附件。当目标打开文件时，JavaScript 代码会执行以获取名为“2.txt”的有效负载，CERT-UA也因此将其归类为“恶意 CrescentImp”。

为了帮助防御者检测CrescentImp感染，CERT-UA提供了一组简短的入侵指标。目前尚不清楚CrescentImp究竟属于哪种类型的恶意软件。

在过去的几年时间里，Sandworm一直以乌克兰为攻击目标。特别是在俄罗斯入侵乌克兰之后，它的攻击频率明显增多。2022年4月，人们发现Sandworm试图通过使用Industroyer恶意软件的新变种来攻击一家大型乌克兰能源供应商的变电站。

安全研究人员还发现，一种依赖固件操作的高度持久性恶意软件Cyclops Blink 僵尸网络，是由Sandworm负责创建和运营的。美国为了找到Sandworm黑客组织的6名成员的踪迹，曾悬赏高达1千万美元的奖励。

Sandworm 组织有关黑客活动

1. 使用名为 BlackEnergy、Industroyer 和 KillDisk 的恶意软件，对乌克兰的电网、财政部和国家财政局进行破坏性的恶意软件攻击;

2. 2017 年法国大选前夕，针对法国总统马克龙的政治团体、法国政府、法国政治家，发起鱼叉式网络钓鱼攻击和泄密行动;

3. 2017 年，该组织使用名为 NotPetya 的恶意软件，感染了世界各地的计算机系统。包括宾夕法尼亚州的医院和其他医疗设施、联邦快递子公司 TNT Categorical BV 以及一家美国大型制药商在内的美国实体受到巨大影响，不完全统计，这些公司在攻击中共遭受了近 10 亿美元的损失;

4. 2017 年 12 月至 2018 年 2 月，针对韩国公民和官员、奥林匹克运动员、赞助商和游客以及国际奥林匹克委员会(IOC)官员，发动了鱼叉式钓鱼攻击。除此之外，同一时间还入侵了 2018 年平昌冬奥会计算机支持系统，使用名为“奥林匹克毁灭者”的恶意软件，对开幕式进行了破坏性恶意软件攻击;

5. 2018 年，针对一家媒体公司发起了鱼叉式钓鱼活动;

6. 2022 年 4 月，利用工业控制系统(ICS)Industroyer 恶意软件的新变种和 CaddyWiper 数据销毁恶意软件的新版本，对乌克兰一家大型能源供应商进行网络攻击。

为了防范Sandworm黑客组织的入侵，乌克兰组织机构需加强网络安全意识，提高警惕，及时修补好漏洞，并采取响应的防范措施及时应对未来的网络攻击。