俄罗斯黑客利用Microsoft Follina漏洞攻击乌克兰

乌克兰计算机应急响应小组（CERT-UA）警告称，一系列新的矛式网络钓鱼攻击利用Windows操作系统中的“Follina”漏洞部署密码窃取恶意软件。

该机构将入侵归因于追踪到的一个名为APT28（又名Fancy Bear或Sofacy）的俄罗斯民族国家组织，称攻击始于一份名为“核恐怖主义是一个非常真实的威胁.rtf”的诱饵文件，该文件打开后，利用最近披露的漏洞下载并执行一个名为CredoMap的恶意软件。

Follina（CVE-2022-30190，CVSS分数：7.8）涉及一个影响Windows支持诊断工具（MSDT）的远程代码执行案例，作为其补丁周二更新的一部分，微软于6月14日对其进行了处理，但在此之前，它受到了众多威胁参与者的广泛零日攻击活动。

根据Malwarebytes发表的一份独立报告，CredoMap是的一种变体。谷歌威胁分析集团（TAG）上个月透露的基于网络的凭证窃取者是针对乌克兰用户部署的。

该恶意软件的主要目的是从Google Chrome、Microsoft Edge和Mozilla Firefox等几种流行浏览器中窃取数据，包括密码和保存的cookie。

Malwarebytes说：“虽然洗劫浏览器看起来像是小偷小摸，但密码是访问敏感信息和情报的关键。”。“目标以及俄罗斯军事情报部门APT28的参与表明，这场战役是乌克兰冲突的一部分，或者至少与俄罗斯国家的外交政策和军事目标有关。”

不仅仅是APT28。CERT-UA进一步警告说，沙虫和一名代号为UAC-0098的参与者发动了类似的攻击，这些攻击利用基于福利纳的感染链，将CrescentImp和Cobalt打击信标部署到媒体和关键基础设施实体的目标主机上。

这一事态发展正值乌克兰在与俄罗斯的持续战争中继续成为网络攻击的目标，同时还发现世界末日黑客在分发GammaLoad。2022年5月PS1\U v2恶意软件。

在针对乌克兰组织投放恶意软件的黑客行为有所缓和的情况下，微软在一份特别报告中透露，自战争爆发以来，国家支持的俄罗斯黑客对42个支持基辅的国家的128个政府、智囊团、企业和援助团体进行了“战略间谍”活动。

49%的观察活动集中在政府机构，其次是IT（20%）、关键基础设施（19%）和非政府组织（12%）。据说只有29%的入侵成功，其中四分之一的事件导致敏感数据外泄。

这家总部位于雷德蒙的科技巨头表示：“到目前为止，俄罗斯人还没有使用破坏性的‘可编程’恶意软件，这种软件可以从一个计算机域跳到另一个计算机域，从而跨越国际边界传播经济损失。”。

“相反，他们正在设计留在乌克兰境内的攻击。虽然俄罗斯一直小心地将其破坏性恶意软件限制在乌克兰境内的特定网络域内，但这些攻击更加复杂和广泛。”