俄罗斯黑客试图入侵北约某国的大型炼油厂未遂

其他值得注意的方法包括使用Telegram页面查找命令和控制 (C2) 服务器，以及使用快速通量DNS在短时间内轮换多个IP地址，从而使基于IP的黑名单和删除工作变得更加困难。

除了网络攻击之外，更大的安全社区据说还收到了一名据称是Gamaredon同伙的威胁性推文，强调了对手采用的恐吓技术。被威胁的目标是基辅的研究员Mikhail Kasimov 等人。Unit 42的报告称，值得称赞的是，被威胁的研究人员毫不畏惧，并在这些威胁发生后的几周内在推特上发布了更多的Trident Ursa组织的IoC。

12月20日，周二，Mikhail Kasimov在接受The Record采访时称，该威胁是偶然的——仅发生在俄乌战争的早期，此后没有任何后续行动——并指出该用户自2月26日之后再就没有活动。为maltrail项目做网络IoC检测的Kasimov继续分享一系列与Gamaredon 相关的域，并将样本上传到VirusTotal。“无论如何，当有人试图威胁你的生命时，这总是令人不快……幸运的是，我还活着并且健康，”Kasimov说。

此前，美国国家安全局网络主管罗伯.乔伊斯曾发出警告，俄罗斯国家支持的黑客可能会在未来几个月内瞄准北约国家的能源部门。乔伊斯说，这些攻击可能会对乌克兰的邻国产生“溢出”影响，比如波兰。微软也曾警告说，俄罗斯支持的黑客加强了对波兰物流业的攻击，而物流业是乌克兰战争努力的关键推动力。

10月，挪威首相警告称，在Nord Stream I和II管道被怀疑遭到破坏以及对俄罗斯天然气进口实施制裁后，俄罗斯对该国的石油和天然气行业构成了“真实而严重的威胁”，这使挪威成为最大的出口国。

最近针对欧洲石油和天然气行业的大多数网络攻击似乎都是出于经济动机并由勒索软件团伙实施，但FSB历来与俄罗斯地下网络犯罪分子有关——特别是在Maksim Yakubets的案例中，一名被指控的网络犯罪分子还被控窃取机密信息并将其提供给俄罗斯当局。

Unit 42的报告总结道，Trident Ursa仍然是一种敏捷且适应性强的APT，在其操作中不会使用过于复杂的技术。在大多数情况下，他们依靠公开可用的工具和脚本——以及大量的混淆——以及例行的网络钓鱼尝试来成功执行他们的操作。该组织的行动经常被研究人员和政府组织发现，但他们似乎并不在意。他们只是添加额外的混淆、新域名和新技术，然后再试一次——通常甚至重复使用以前的样本。至少从2014年开始，Trident Ursa一直以这种方式运作，并且在整个俄乌战争期间没有放缓的迹象，并且继续取得成功。由于所有这些原因，它们仍然是乌克兰的重大威胁，乌克兰及其盟国需要积极防御。

参考资源

1、https://unit42.paloaltonetworks.com/trident-ursa/

2、https://thehackernews.com/2022/12/russian-hackers-target-major-petroleum.html

3、https://www.cyberscoop.com/russia-hacking-ukraine-nato-energy/

4、https://therecord.media/russian-hackers-targeted-petroleum-refining-company-in-nato-state/

文章来源：网空闲话