烏克蘭 CERT 發現 RoarBAT 惡意軟件
烏克蘭計算機應急響應小組 (CERT-UA) 報告了一項正在進行的網絡釣魚活動,該活動使用以發票為主題的誘餌來傳播 SmokeLoader 惡意軟件。這些電子郵件是從受感染的帳戶發送的,並包含一個 ZIP 存檔,該存檔實際上是一個包含誘餌文檔和 JavaScript 文件的多語言文件。該文件用於執行 SmokeLoader 惡意軟件,其目標是在受感染的系統上下載更有效的惡意軟件。 CERT-UA 將此活動歸因於 UAC-0006,這是一個出於經濟動機的威脅行為者,試圖竊取憑證並在未經授權的情況下轉移資金。
此外,烏克蘭網絡安全當局披露了 UAC-0165 對公共部門組織發起的一次破壞性攻擊,CERT-UA 將此組織適度歸因於 Sandworm 組織。該攻擊涉及一種名為 RoarBAT 的基於批處理腳本的擦除器惡意軟件,它會遞歸搜索具有特定擴展名的文件,並使用合法的 WinRAR 實用程序將其刪除。該組織還使用 bash 腳本破壞了 Linux 系統,該腳本用零字節覆蓋文件以避免被發現。
遠程連接到 VPN 時缺少 MFA 促進了攻擊。攻擊的破壞性影響導致電子計算機、服務器設備、自動化用戶工作場所和數據存儲系統受損。
什麼是高級持續性威脅參與者?
高級持續威脅 (APT) 攻擊者是技術嫻熟且積極進取的網絡攻擊者,他們針對政府機構、關鍵基礎設施或大公司等特定目標開展長期、有針對性的網絡間諜活動。這些攻擊者使用複雜的技術未經授權訪問敏感信息和系統,目的是竊取有價值的知識產權、機密信息或財務數據。
APT 通常使用魚叉式網絡釣魚、社會工程、惡意軟件和遠程訪問工具等策略的組合來訪問目標系統。一旦獲得訪問權限,APT 攻擊者可能會在網絡中建立立足點,在目標環境中橫向移動,並在竊取數據時長時間保持不被發現。
APT 參與者通常由國家贊助,並得到民族國家或其他擁有大量資源支持其網絡運營的大型組織的支持。然而,他們也可能出於經濟動機,代表尋求竊取有價值數據以牟利的犯罪組織工作。
防禦 APT 攻擊需要多方面的方法,包括高級威脅檢測和響應能力、強大的安全衛生實踐,以及持續監控網絡活動以發現可疑行為跡象。