乌克兰政府实体在其网络首先通过伪装成合法 Windows 10 安装程序的木马化 ISO 文件遭到破坏后遭到有针对性的攻击。
这些恶意安装程序提供的恶意软件能够从受感染的计算机收集数据、部署其他恶意工具并将窃取的数据泄露到攻击者控制的服务器。
2022 年 5 月创建的用户在 toloka[.]to Ukrainian Torrent Tracker 上托管了此活动中推送的 ISO 之一
“ISO 被配置为禁用 Windows 计算机发送给微软的典型安全遥测,并阻止自动更新和许可证验证,”周四发现这些攻击的网络安全公司 Mandiant 说。
“没有迹象表明入侵是出于经济动机,无论是通过盗窃可货币化的信息,还是通过部署勒索软件或加密矿工。”
在分析乌克兰政府网络上的几台受感染设备时,Mandiant 还发现了 2022 年 7 月中旬设置的计划任务,这些任务旨在接收将通过 PowerShell 执行的命令。
在初步侦察之后,威胁行为者还部署了 Stowaway、Beacon 和 Sparepart 后门,使他们能够保持对受感染计算机的访问、执行命令、传输文件和窃取信息,包括凭据和击键。
木马化的 Windows 10 ISO 是通过乌克兰语和俄语洪流文件共享平台分发的,这与网络间谍组织在其基础设施上托管有效载荷的类似攻击不同。
虽然这次供应链攻击袭击了乌克兰政府,但通过种子下载恶意 Windows ISO 文件
Mandiant 补充说:“我们评估威胁行为者公开分发了这些安装程序,然后使用嵌入式计划任务来确定受害者是否应该部署更多有效载荷。”
虽然恶意 Windows 10 安装程序并非专门针对乌克兰政府,但威胁行为者分析了受感染的设备,并对确定属于政府实体的设备进行了进一步、更有针对性的攻击。
“然后精心挑选了 UA 政府感兴趣的目标。这些目标与 GRU 的利益重叠,” Mandiant 威胁情报副总裁 John Hultquist发推文说。
之前被俄罗斯军方黑客攻击的目标
此次供应链攻击背后的威胁组织被追踪为 UNC4166,其可能的目标是从乌克兰政府网络收集和窃取敏感信息。
虽然当时没有明确的归属,但 Mandiant 的安全研究人员发现,在这次活动中受到攻击的组织之前曾在与俄罗斯军事情报有联系的 APT28 国家黑客的目标列表中。
“UNC4166 的目标与 GRU 相关集群在战争开始时的目标组织重叠。” 曼迪安特说。
“UNC4166 进行后续互动的组织包括自入侵爆发以来我们与 APT28 相关的破坏性擦除器攻击的历史受害者的组织。”
APT28 至少从 2004 年开始代表俄罗斯总参谋部情报总局 (GRU) 开展活动,并与针对全球政府的活动有关,包括 2015 年对德国联邦议会的黑客 攻击和对民主党国会竞选委员会 (DCCC) 的攻击以及2016 年的民主党全国委员会 (DNC) 。
自俄罗斯开始入侵乌克兰以来,针对乌克兰政府和军事组织的多起网络钓鱼活动已被 谷歌、 微软和 乌克兰的 CERT标记为 APT28 行动。“在间谍活动中使用木马化的 ISO 是一种新颖的做法,包括反检测功能表明该活动背后的参与者具有安全意识和耐心,因为该操作需要大量时间和资源来开发和等待 ISO安装在感兴趣的网络上,”Mandiant 补充道。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 乌克兰政府网络被木马化的Windows 10安装程序攻破
