俄国黑客针对乌克兰政府的新一轮攻击

重点摘要

• 俄罗斯国家赞助的黑客组织APT28（亦称Fancy Bear）针对乌克兰政府机构进行了新的攻击。
• 黑客通过伪装成Windows更新指南的恶意电子邮件发起攻击。
• 恶意电子邮件使用真实员工姓名的@outlook.com地址发送，并包含执行PowerShell命令的建议。
• 此次攻击利用了“systeminfo”和“tasklist”命令，旨在收集数据并发送至Mocky服务API。
• 根据Google的威胁分析组，俄罗斯是攻击乌克兰的钓鱼攻击的主要来源，APT28是关键参与者之一。

最近，BleepingComputer 报道称，几个乌克兰政府机构遭遇了由俄罗斯国家支持的黑客组织APT28（又称FancyBear）发起的新一轮网络攻击。此次攻击主要通过恶意电子邮件进行，这些邮件伪装成包含Windows更新指南的信息，意在帮助抵御网络攻击。根据乌克兰计算机应急响应小组的报告，APT28利用带有真实员工姓名的@outlook.com电子邮件地址发送这些恶意邮件，邮件中建议用户执行一个PowerShell命令，该命令会下载一个PowerShell脚本，随后再下载一个其他的PowerShell有效载荷。

该有效载荷的第二阶段利用“systeminfo”和“tasklist”命令，以方便数据收集。收集到的数据会被发送至Mocky服务API。这样一来，黑客便可以获取更多系统信息，以便于进行更深层次的网络攻击。

这些发现的时间点恰好在Google的威胁分析组 指出，俄罗斯已成为针对乌克兰发起的近60%钓鱼攻击的源头，APT28在此中扮演了重要角色。此外，美国、英国和思科还报告称，APT28针对思科路由器的零日漏洞进行攻击，借此进行情报收集，使用的工具包括 。

通过这些事件，我们可以看到APT28的持续活动，以及它们如何针对乌克兰政府机构进行系统性攻击。对此，乌克兰及其盟国需要提高警惕，以随时应对这些不断演变的网络威胁。