谷歌警告说,在俄罗斯对乌克兰进行地面战争时,它属于或支持弗拉基米尔-高级持续威胁普京政府(APT)该组织正在加强对乌克兰和欧洲组织的网络钓鱼和其他攻击。
谷歌TAG软件工程总监Shane Huntley谷歌威胁分析小组在周一发表的一篇博客文章中写道(TAG)研究人员发现,被称为FancyBear/APT28和Ghostwriter/UNC1151威胁组织的间谍活动和在线钓鱼活动增加了。前者被认为是俄罗斯人GRU后者是乌克兰报道的白俄罗斯国防部的攻击者。
同时,据Google TAG据说乌克兰政府网站最近出现了一系列分布式拒绝服务(DDoS)攻击的目标包括外交部和内政部,以及帮助乌克兰人寻找帮助的政府服务,如Liveuamap。
最近"Mustang Panda"黑客组织也加入了战争局面。在最近的网络钓鱼活动中,乌克兰的战争局钓鱼活动中攻击欧洲相关机构。
Huntley在帖子中,我们分享这些信息是为了帮助提高社区安全意识和用户风险意识。
流行的钓鱼网站
Fancy Bear攻击2020年东京奥运会和欧盟选举APT组织最近一直在针对ukr.net(乌克兰媒体公司URKNet网站)用户进行了几次大型凭证钓鱼攻击活动。
根据该帖子,这些钓鱼邮件是从大量的被攻击的账户(非Gmail/Google)还包括攻击者控制的域链接。
在最近的两次攻击中,TAG看到攻击者使用了新的创造Blogspot域名作为用户的初始登录页面,然后将目标重定向证书钓鱼页面。Huntley补充说,目前所有已知的都是由攻击者控制的Blogspot域名已被删除。
同时,根据Google TAG,Ghostwriter在过去的一周里,波兰、乌克兰政府和军事组织开展了类似的在线钓鱼活动。该组织还攻击了该地区以下供应商的在线电子邮件用户。
- i.ua。
- meta.ua。
- ranbler.ru。
- ukr.net。
- wp.pl。
- yandex.ru。
谷歌TAG在攻击活动期间,研究人员通过谷歌安全浏览观察到了一些凭证网络钓鱼域。这些域名包括:accounts[.]secure-ua[.]website,i[.]ua-passport[.]top,login[.]creditals-email[.]space,post[.]mil-gov[.]space and verify[.]rambler-profile[.]site。
充分利用当前的冲突情况进行钓鱼攻击
Mustang Panda组织(又名Temp.Hex、HoneyMyte、TA416或RedDelta)不甘示弱,利用与乌克兰冲突有关的网络钓鱼诱饵攻击欧洲组织。
Huntley在帖子中解释,TAG发现了一份名为欧盟和乌克兰边境局势的文件.zip'的恶意附件,其中包含了一个同名的可执行文件,这是一个恶意文件下载器。当该文件执行时,该文件会下载几个其他的文件,然后安装恶意有效载荷。
Huntley指出,一些APT组织攻击欧洲,这表明威胁攻击者的攻击策略发生了变化。他们通常以东南亚的实体为目标。Mustang Panda此前一直活跃在对欧盟实体的攻击中,其中最引人注目的是2020年9月以罗马梵蒂冈和天主教会为目标的鱼叉钓鱼活动。
Huntley指出,为了减缓APT组织的最新网络攻击,TAG其发现的信息已通知有关当局。
扩大DdoS的保护范围
随着APTs加强对乌克兰目标的网络钓鱼攻击,国家重点政府网站和服务网站也将面临新一轮DDoS攻击。
Huntley谷歌已经扩大了,因为这些攻击可能会继续,Project Shield公司的免费资格DDoS攻击保护为150多个机构提供了这项服务,包括乌克兰政府网站、世界各地的大使馆和其他与冲突密切相关的政府网站,以及许多新闻机构。
该帖子称,Project Shield允许谷歌缓解DDoS恶意流量的攻击,使目标组织能够继续运作并抵抗这些攻击。Huntley写道,在DDoS随着攻击活动的增加,公司正在建议合格的组织注册Project Shield。
本文翻译自:https://threatpost.com/russian-apts-phishing-ukraine-google/178819/如果转载,请注明原始地址。