导 读
据新报告称,疑似俄罗斯黑客在新的间谍活动中将乌克兰军事和国防企业作为目标。
乌克兰军方计算机应急响应小组 (MIL.CERT-UA) 追踪到该活动背后的威胁组织为 UAC-0185,攻击者发送了网络钓鱼电子邮件,伪装成上周在基辅举行的合法国防会议的邀请。
该组织也称为 UNC4221,自 2022 年以来一直活跃,主要通过 Signal、Telegram 和 WhatsApp 等消息应用程序以及 Delta、Teneta 和 Kropyva 等当地军事系统窃取凭证,主要针对乌克兰军事人员。
据 MIL.CERT-UA 称,除了入侵账户之外,攻击者还选择性地发动网络攻击,以未经授权的远程访问乌克兰国防工业综合体和国防部队员工的计算机。
乌克兰尚未将该组织归咎于某个特定国家,但研究人员此前曾将UNC4221 与俄罗斯联系起来。该组织的策略和目标与莫斯科支持的黑客常用的策略和目标一致。
该组织使用知名工具来感染受害者的设备,包括 MeshAgent 和 UltraVNC(一种用于远程管理计算机系统的开源软件)。
8 月初,被追踪为 UAC-0198 的威胁组织使用基于 MeshAgent 的后门恶意软件感染了 100 多台乌克兰国家计算机。
根据网络安全公司 MalwareBytes 的分析,MeshAgent 可以通过多种方式入侵系统,最常见的方式是利用包含恶意宏的电子邮件活动。黑客还可以滥用UltraVNC 软件来控制目标系统并安装后门。
乌克兰军方和国防企业是黑客的常见目标,通常与俄罗斯有联系。7 月初,被追踪为 UAC-0180 的威胁组织试图使用伪装成无人机采购合同的恶意电子邮件访问乌克兰国防公司的系统。
在 6 月份的一次活动中,一个名为 Vermin 的组织使用 Spectr 恶意软件攻击了乌克兰武装部队,以窃取其设备中的敏感信息。
此前,CERT-UA 还警告称,乌克兰军事人员和国防服务可能遭受使用 DarkCrystal 恶意软件的网络攻击,这种恶意软件可能允许攻击者远程访问受害者的设备。
技术报告:https://cert.gov.ua/article/6281632
新闻链接:
https://therecord.media/suspected-russian-hackers-target-ukrainian-enterprises-espionage
今日安全资讯速递
APT事件
Advanced Persistent Threat
Head Mare 利用隐藏的 LNK 文件和勒索软件攻击俄罗斯组织
https://thecyberexpress.com/head-mare-targets-russia/
疑似俄罗斯黑客在新间谍活动中瞄准乌克兰国防企业
https://therecord.media/suspected-russian-hackers-target-ukrainian-enterprises-espionage
黑客利用 Visual Studio Code 远程隧道进行网络间谍活动
https://thehackernews.com/2024/12/hackers-weaponize-visual-studio-code.html
一般威胁事件
General Threat Incidents
俄罗斯中断多个地区的互联网接入,以测试“主权互联网”
https://therecord.media/russia-disrupts-internet-access-in-multiple-regions-runet
假招聘人员利用网络钓鱼诈骗通过恶意应用程序传播银行木马
https://thehackernews.com/2024/12/fake-recruiters-distribute-banking.html
罗马尼亚能源供应商 Electrica Group 面临勒索软件攻击
https://securityaffairs.com/171832/hacking/electrica-group-ransomware-attack.html
Black Basta 勒索软件利用 MS Teams 和电子邮件轰炸传播恶意软件
https://hackread.com/black-basta-gang-ms-teams-email-bombing-malware/
漏洞事件
Vulnerability Incidents
Adobe 修复 16 种产品的 160 多个漏洞
https://www.securityweek.com/adobe-patches-over-160-vulnerabilities-across-16-products/
微软 2024 年 12 月补丁日修复 1 个被利用的0day漏洞和总计 71 个漏洞
https://www.bleepingcomputer.com/news/microsoft/microsoft-december-2024-patch-tuesday-fixes-1-exploited-zero-day-71-flaws/
戴尔敦促立即更新以修复关键电源管理器漏洞
https://hackread.com/dell-urges-update-critical-power-manager-vulnerability/
微软推出默认NTLM 中继攻击缓解措施
https://www.securityweek.com/microsoft-rolls-out-default-ntlm-relay-attack-mitigations/
Cleo 文件传输工具漏洞遭企业利用
https://www.securityweek.com/cleo-file-transfer-tool-vulnerability-exploited-in-wild-against-enterprises/
SAP 修补 NetWeaver 中的严重漏洞
https://www.securityweek.com/sap-patches-critical-vulnerability-in-netweaver/
思科称工业路由器和 BGP 工具漏洞披露 8 个月后仍未修复
https://www.securityweek.com/cisco-says-flaws-in-industrial-routers-bgp-tool-remain-unpatched-8-months-after-disclosure/
WPForms 漏洞导致 Stripe 在数百万个 WordPress 网站上退款
https://www.bleepingcomputer.com/news/security/wpforms-bug-allows-stripe-refunds-on-millions-of-wordpress-sites/
Ivanti 警告最高严重程度的 CSA 身份验证绕过漏洞
https://www.bleepingcomputer.com/news/security/ivanti-warns-of-maximum-severity-csa-auth-bypass-vulnerability/
扫码关注
军哥网络安全读报
讲述普通人能听懂的安全故事
原文始发于微信公众号(军哥网络安全读报):疑似俄罗斯黑客在新间谍活动中瞄准乌克兰国防企业
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论