乌克兰计算机紧急响应小组 (CERT-UA) 透露,2023 年 5 月至 9 月期间,威胁行为者“干扰”了该国至少 11 家电信服务提供商。
该机构正在追踪名为 UAC-0165 的活动,并表示入侵导致客户服务中断。
攻击的起点是侦察阶段,其中扫描电信公司的网络以识别暴露的 RDP 或 SSH 接口以及潜在的入口点。
CERT-UA表示:“应该指出的是,侦察和利用活动是通过之前受到损害的服务器进行的,特别是位于乌克兰互联网段的服务器。”
“为了通过这些节点路由流量,使用了 Dante、SOCKS5 和其他代理服务器。”
这些攻击因使用名为 POEMGATE 和 POSEIDON 的两个专用程序而引人注目,这两个程序能够窃取凭据并远程控制受感染的主机。为了消除取证痕迹,执行名为 WHITECAT 的实用程序。
此外,使用不受多重身份验证保护的常规 VPN 帐户可以实现对提供商基础设施的持续未经授权的访问。
成功入侵后,会尝试禁用网络和服务器设备,特别是 Mikrotik 设备以及数据存储系统。
该机构表示,在 2023 年 10 月的第一周,观察到由 UAC-0006 组织追踪的黑客组织使用SmokeLoader 恶意软件发起了四次网络钓鱼浪潮。
CERT-UA表示:“合法的受损电子邮件地址用于发送电子邮件,SmokeLoader 通过多种方式传递到 PC。”
“攻击者的目的是攻击会计师的计算机,以窃取身份验证数据(登录名、密码、密钥/证书)和/或更改远程银行系统中的财务文件详细信息,以便发送未经授权的付款。”
发表评论
您还未登录,请先登录。
登录