乌克兰政府文件门户遭受网络攻击
2021年2月下旬,乌克兰政府报告了对政府文档共享基础设施的网络攻击。该国的网络安全中心表示,攻击的“方法和手段”表明来自俄罗斯的“黑客间谍组织”的介入。
这次攻击针对的是执行机构电子互动系统,这是一个乌克兰的门户网站,用于在政府机构和公共当局之间共享文档。
乌克兰当局发现在门户网站上载了包含宏的恶意文档。这不是一种不寻常的或特别新颖的攻击方法,但可悲的是仍然可以很好地起作用。
一旦打开了恶意文档,它将要求用户允许宏执行。如果获得许可,宏脚本将悄悄下载攻击背后的不良行为者准备好的恶意软件的真实有效负载。
这种攻击媒介可用于分发各种形式的第二阶段有效负载,从特洛伊木马程序和后门到信息收集器,密钥记录程序和勒索软件。
乌克兰当局没有命名任何具有统一名称的机构或团体,但表示攻击包含许多危害指标,包括域enterox.ru以及托管在其上的IP地址和PHP页面。
根据ZDNet安全团队进行的研究,该域名可能表明该攻击与Gamaredon APT有关。 Gamaredon被认为是由国家资助的黑客团体,在俄罗斯以外地区活动,过去曾对乌克兰网络发起过攻击。
在宣布这一攻击发生的几天前,乌克兰当局还报告说,俄罗斯的不良行为者针对包括乌克兰安全局网站在内的许多不同的乌克兰机构进行了分布式拒绝服务攻击。
February 25, 2021
