CERT-UA 报告：11 家乌克兰电信提供商遭受网络攻击

乌克兰计算机紧急响应小组 (CERT-UA) 透露，2023 年 5 月至 9 月期间，威胁行为者“干扰”了该国至少 11 家电信服务提供商。

该机构正在追踪名为 UAC-0165 的活动，并表示入侵导致客户服务中断。

攻击的起点是侦察阶段，其中扫描电信公司的网络以识别暴露的 RDP 或 SSH 接口以及潜在的入口点。

CERT-UA表示：“应该指出的是，侦察和利用活动是通过之前受到损害的服务器进行的，特别是位于乌克兰互联网段的服务器。”

“为了通过这些节点路由流量，使用了 Dante、SOCKS5 和其他代理服务器。”

这些攻击因使用名为 POEMGATE 和 POSEIDON 的两个专用程序而引人注目，这两个程序能够窃取凭据并远程控制受感染的主机。为了消除取证痕迹，执行名为 WHITECAT 的实用程序。

此外，使用不受多重身份验证保护的常规 VPN 帐户可以实现对提供商基础设施的持续未经授权的访问。

成功入侵后，会尝试禁用网络和服务器设备，特别是 Mikrotik 设备以及数据存储系统。

该机构表示，在 2023 年 10 月的第一周，观察到由 UAC-0006 组织追踪的黑客组织使用SmokeLoader 恶意软件发起了四次网络钓鱼浪潮。

CERT-UA表示：“合法的受损电子邮件地址用于发送电子邮件，SmokeLoader 通过多种方式传递到 PC。”

“攻击者的目的是攻击会计师的计算机，以窃取身份验证数据（登录名、密码、密钥/证书）和/或更改远程银行系统中的财务文件详细信息，以便发送未经授权的付款。”

原文来自: thehackernews.com