烏克蘭政府文件門戶遭受網絡攻擊
2021年2月下旬,烏克蘭政府報告了對政府文檔共享基礎設施的網絡攻擊。該國的網絡安全中心表示,攻擊的“方法和手段”表明來自俄羅斯的“黑客間諜組織”的介入。
這次攻擊針對的是執行機構電子互動系統,這是一個烏克蘭的門戶網站,用於在政府機構和公共當局之間共享文檔。
烏克蘭當局發現在門戶網站上載了包含宏的惡意文檔。這不是一種不尋常的或特別新穎的攻擊方法,但可悲的是仍然可以很好地起作用。
一旦打開了惡意文檔,它將要求用戶允許宏執行。如果獲得許可,宏腳本將悄悄下載攻擊背後的不良行為者準備好的惡意軟件的真實有效負載。
這種攻擊媒介可用於分發各種形式的第二階段有效負載,從特洛伊木馬和後門到信息收集器,密鑰記錄程序和勒索軟件。
烏克蘭當局沒有命名任何具有統一名稱的機構或團體,但表示攻擊包含許多危害指標,包括域enterox.ru以及託管在其上的IP地址和PHP頁面。
根據ZDNet安全團隊進行的研究,該域名可能表明該攻擊與Gamaredon APT有關。 Gamaredon被認為是由國家資助的黑客團體,在俄羅斯以外地區活動,過去曾對烏克蘭網絡發起過攻擊。
在宣布這一攻擊發生的幾天前,烏克蘭當局還報告說,俄羅斯的不良行為者針對包括烏克蘭安全局網站在內的許多不同的烏克蘭機構進行了分佈式拒絕服務攻擊。