俄罗斯黑客 APT28 对波兰政府发动恶意软件攻击

阅读量38366

发布时间 : 2024-05-09 11:10:37

波兰国家网络安全机构周三表示,克里姆林宫支持的黑客组织 APT 28 本周早些时候被发现针对波兰政府机构,这是俄罗斯针对支持乌克兰的北约盟国的一系列网络攻击中的最新一起。

CERT Polska 表示,黑客发起了大规模电子邮件网络钓鱼活动,使用的策略、技术和程序 (TTP) 与俄罗斯民族国家威胁组织APT28过去实施的攻击类似。

高级持续威胁 (APT) 小组也称为“26165 部队”、“福雷斯特暴雪”、“花式熊”或“沙虫小组”,是已知在普京领导下的 GRU(俄罗斯总参谋部主要情报局)下工作的两个网络作战单位之一。武装部队。

该网络安全机构在 X 上发布的一份声明中表示:“与俄罗斯情报部门有关的 APT28 组织本周分发了针对波兰政府机构的恶意软件。@CERT_Polska 和 @CSIRT_MON 团队记录并描述了敌对活动。” 。

据波兰国家通讯社 PAP 报道,波兰数字事务部长克日什托夫·高科夫斯基 (Krzysztof Gawkowski) 表示,华沙不断发现来自俄罗斯针对该国供水和卫生服务等目标的网络攻击。

据 CERT 团队称,黑客会向国家机构发送网络钓鱼电子邮件,旨在“引起收件人的兴趣并说服他点击链接”。

CERT Polska 指出,网络间谍活动的“整个攻击流程”(从第一封电子邮件诱饵到最终有效负载)与“Headlace 恶意软件”相同,后者是 APT28 已在使用的定制后门传送系统。

事实上,去年 12 月,APT28 使用 Headlace 恶意软件瞄准了波兰和其他十几个国家。

整个操作从使用重定向链接到 IT 行业已知的流行网址开始,最终诱骗用户单击看似 Zip 文件的照片。

最终,用户会下载伪装成合法应用程序的恶意可执行文件,这种技术称为 DLL 侧面加载。

一旦启动,Microsoft Edge 浏览器就会打开并“显示一名穿着泳衣的真实女性的照片以及她在社交媒体平台上真实帐户的链接”,这是一个诡计,旨在“使攻击者的叙述可信并安抚人们的情绪”。收件人的警惕性。”

最后,下载了几个脚本,文件扩展名更改为 .cmd,然后文件启动  用户的计算机被恶意软件感染,允许攻击者访问,并直接连接到威胁组织的命令和控制服务器 (C2) 。

俄罗斯APT28瞄准波兰
APT28 在最新的网络间谍活动中瞄准了波兰。电子邮件网络钓鱼攻击流程图。图片由波兰 CERT 提供。

俄罗斯以混合攻击而闻名

CERT 团队表示,发布该报告“是为了阻止敌对活动并能够检测和分析所描述的活动”,以便网络管理员可以确定员工是否受到了任何攻击。

上周,北约承认德国、捷克、波兰、立陶宛、斯洛伐克和瑞典的政府实体和关键基础设施也受到俄罗斯网络间谍组织的攻击。

一月份,乌克兰网络安全协调中心 (NCSCC) 发现了APT28 ,它试图通过电子邮件网络钓鱼攻击来访问属于乌克兰国防军成员的电子邮件帐户。

北约在 5 月 2 日的袭击声明中表示:“这些事件是俄罗斯继续在欧洲-大西洋地区(包括在联盟领土上和通过代理人)开展的愈演愈烈活动的一部分。”

北大西洋公约组织表示,这包括破坏、暴力行为、网络和电子干扰、虚假信息活动和其他混合行动……我们支持并声援受影响的盟国。

俄罗斯否认西方政府过去进行网络攻击的指控。

本文转载自:

如若转载,请注明出处: https://cybernews.com/cyber-war/russian-cyberattack-apt28-polish-gov-malware-campaign/

安全客 - 有思想的安全新媒体

分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66