安全研究人員說(shuō),他們最近觀察到一個(gè)俄羅斯黑客團(tuán)隊(duì),他們是破壞性的WhisperGate惡意軟件網(wǎng)絡(luò)攻擊的幕后黑手,以一種新的信息竊取惡意軟件為手段攻擊烏克蘭實(shí)體。
賽門鐵克的威脅獵手團(tuán)隊(duì)將這一活動(dòng)歸因于一個(gè)與俄羅斯有關(guān)的網(wǎng)絡(luò)威脅行為者,它之前被稱為TA471(或UAC-0056),自2021年初以來(lái)一直活躍,該組織支持俄羅斯政府的利益,雖然它主要針對(duì)烏克蘭,但該組織也一直活躍在北美和歐洲的北約成員國(guó)。
TA471與WhisperGate有關(guān),這是一種破壞性的數(shù)據(jù)清除惡意軟件,在2022年1月針對(duì)烏克蘭目標(biāo)的多個(gè)網(wǎng)絡(luò)攻擊中使用。該惡意軟件偽裝成勒索軟件,但使目標(biāo)設(shè)備完全無(wú)法操作,即使支付贖金要求也無(wú)法恢復(fù)文件。
據(jù)賽門鐵克稱,該黑客組織的最新活動(dòng)依靠以前未曾見(jiàn)過(guò)的信息竊取惡意軟件,這被稱之為"Graphiron",特別用于針對(duì)烏克蘭組織。據(jù)研究人員稱,該惡意軟件被用來(lái)從2022年10月至至少2023年1月中旬的受感染機(jī)器中竊取數(shù)據(jù),有理由認(rèn)為它仍然是[黑客]工具包的一部分。"
這種竊取信息的惡意軟件使用的文件名旨在偽裝成合法的微軟Office文件,與其他TA471工具類似,如GraphSteel和GrimPlant,它們之前被用作專門針對(duì)烏克蘭國(guó)家機(jī)構(gòu)的魚(yú)叉式釣魚(yú)活動(dòng)的一部分。但賽門鐵克表示,Graphiron旨在滲出更多數(shù)據(jù),包括屏幕截圖和私人SSH密鑰。
賽門鐵克威脅獵手團(tuán)隊(duì)首席情報(bào)分析師迪克-奧布萊恩(Dick O'Brien)表示:"從情報(bào)角度來(lái)看,這些信息本身可能是有用的,或者可以用來(lái)深入目標(biāo)組織或發(fā)起破壞性攻擊。雖然對(duì)這個(gè)黑客組織的來(lái)源或戰(zhàn)略知之甚少,但TA471已經(jīng)成為俄羅斯對(duì)烏克蘭持續(xù)進(jìn)行的網(wǎng)絡(luò)活動(dòng)中的關(guān)鍵角色之一。"
TA471的最新間諜活動(dòng)的消息是在烏克蘭政府對(duì)另一個(gè)俄羅斯國(guó)家支持的黑客組織(被稱為UAC-0010)敲響警鐘后的幾天,該組織繼續(xù)對(duì)烏克蘭組織進(jìn)行頻繁的網(wǎng)絡(luò)攻擊活動(dòng)。
烏克蘭國(guó)家網(wǎng)絡(luò)保護(hù)中心說(shuō):"盡管主要使用重復(fù)的技術(shù)和程序,但對(duì)手緩慢但堅(jiān)持地發(fā)展他們的戰(zhàn)術(shù),重新開(kāi)發(fā)使用的惡意軟件變體,以保持不被發(fā)現(xiàn)。因此,它仍然是我們國(guó)家的組織所面臨的關(guān)鍵網(wǎng)絡(luò)威脅之一"。
