Proofpoint在上周四(2/24)俄國出兵攻擊烏克蘭當天,偵測到一波釣魚攻擊行動,駭客疑似駭入烏克蘭軍方高層郵箱,由於收信人是負責協調歐陸地區人員運輸、經費分配、物資調度的關鍵人士,可以判斷攻擊者已將目標轉向難民移置工作。(情境示意圖,圖片來源/烏克蘭政府官方推特)

安全廠商近日發現一波釣魚信件,駭客疑似駭入烏克蘭軍方高層郵箱,向提供協助的西方國家政府官員發動精準釣魚攻擊。

Proofpoint是在上周四(2/24)俄國出兵攻擊烏克蘭當天,偵測到這波釣魚攻擊行動,該公司稱之為Asylum Ambuscade,Ambuscade意指從暗處偷襲。信件是在北約(NATO)安全理事會針對一個俄羅斯暗殺名單召開緊急會議後發出,信件主旨為烏克蘭安全理事會於2月24日召開緊急會議的事項,對象是協調烏克蘭難民救援的西方國家官員。

這封信件內含一個Excel工作表,副檔名為XLS的附件。一旦用戶開啟即會下載惡意Lua檔,名為SunSeed。植入過程中,檔案存在C:\ProgramData\.security-soft,及建立Windows LNK捷徑檔以便長期滲透,每當Windows啟動即會執行。SunSeed則負責與外部C2伺服器建立連線,以下載更多惡意程式。

目前研究人員還不確定這樁行動的目的為何,但由於收信人是負責協調歐陸地區人員運輸、經費分配、物資調度的關鍵人士,可以判斷攻擊者已將目標轉向難民移置工作。

分析其手法,研究人員這波相信和一月間攻擊烏國數十網站的UNC1151駭客組織有關,Proofpoint稱為TA445。這個組織是由白俄羅斯政府操控,但一般相信也和俄羅斯政府有關。

Proofpoint無法斷定上周的釣魚信件攻擊一定是TA445,但分析其時間點、利用駭入的烏克蘭軍方人士帳號發送釣魚信件,以及操弄難民議題,則和這個組織很相似。TA445過去就常發動假訊息來挑動歐洲國家反難民情結,及造成北約國家的緊張關係。而假訊息也是已知俄國及白俄的軍事作戰手法。

為了防範俄方的假訊息攻擊,烏克蘭政府曾要求管理域名的ICANN能撤銷俄羅斯的頂級域名及SSL憑證,但ICANN等則認為俄國民眾將會首當其衝,而拒絕了此項要求。

熱門新聞

Advertisement