乌克兰 CERT 发现 RoarBAT 恶意软件

russia ukraine cyberattacks

乌克兰计算机应急响应小组 (CERT-UA) 报告了一项正在进行的网络钓鱼活动,该活动使用以发票为主题的诱饵来传播 SmokeLoader 恶意软件。这些电子邮件是从受感染的帐户发送的,并包含一个 ZIP 存档,该存档实际上是一个包含诱饵文档和 JavaScript 文件的多语言文件。该文件用于执行 SmokeLoader 恶意软件,其目标是在受感染的系统上下载更有效的恶意软件。 CERT-UA 将此活动归因于 UAC-0006,这是一个出于经济动机的威胁行为者,试图窃取凭证并在未经授权的情况下转移资金。

此外,乌克兰网络安全当局披露了 UAC-0165 对公共部门组织发起的一次破坏性攻击,CERT-UA 将此组织适度归因于 Sandworm 组织。该攻击涉及一种名为 RoarBAT 的基于批处理脚本的擦除器恶意软件,它会递归搜索具有特定扩展名的文件,并使用合法的 WinRAR 实用程序将其删除。该组织还使用 bash 脚本破坏了 Linux 系统,该脚本用零字节覆盖文件以避免被发现。

远程连接到 VPN 时缺少 MFA 促进了攻击。攻击的破坏性影响导致电子计算机、服务器设备、自动化用户工作场所和数据存储系统受损。

什么是高级持续性威胁行为者?

高级持续威胁 (APT) 攻击者是技术娴熟且积极进取的网络攻击者,他们针对政府机构、关键基础设施或大公司等特定目标开展长期、有针对性的网络间谍活动。这些攻击者使用复杂的技术未经授权访问敏感信息和系统,目的是窃取有价值的知识产权、机密信息或财务数据。

APT 通常使用鱼叉式网络钓鱼、社会工程、恶意软件和远程访问工具等策略的组合来访问目标系统。一旦获得访问权限,APT 攻击者可能会在网络中建立立足点,在目标环境中横向移动,并在窃取数据时长时间保持不被发现。

APT 参与者通常由国家赞助,并得到民族国家或其他拥有大量资源支持其网络运营的大型组织的支持。然而,他们也可能出于经济动机,代表寻求窃取有价值数据以牟利的犯罪组织工作。

防御 APT 攻击需要多方面的方法,包括高级威胁检测和响应能力、强大的安全卫生实践,以及持续监控网络活动以发现可疑行为迹象。

May 10, 2023
正在加载...

Cyclonis Backup Details & Terms

免费的基本 Cyclonis 备份计划为您提供 2 GB 的云存储空间和完整的功能!无需信用卡。需要更多存储空间?立即购买更大的 Cyclonis 备份计划!要详细了解我们的政策和定价,请参阅服务条款隐私政策折扣条款购买页面。如果您想卸载应用程序,请访问卸载说明页面。

Cyclonis Password Manager Details & Terms

免费试用:30 天一次性优惠!免费试用不需要信用卡。免费试用期间的全部功能。 (免费试用后的完整功能需要订阅购买。)要了解有关我们的政策和定价的更多信息,请参阅EULA隐私政策折扣条款购买页面。如果您想卸载应用程序,请访问卸载说明页面。