当前位置:首页-安全资讯科技资讯-正文

微软揭露俄罗斯黑客组织对乌克兰实施攻击的部分细节 代号为金属元素锕

因地缘政治问题目前俄罗斯与乌克兰及北约正在紧张对峙,除军事对峙外中途还发生多起针对乌克兰的黑客攻击。

此前发生攻击后乌克兰就指责俄罗斯是幕后黑手,不过当时帮助调查的微软未完成溯源因此并未透露实际攻击源。

经过调查和溯源后微软安全团队已经披露新的调查报告,在报告中微软提到的黑客组织此前已经在业界颇为知名。

恶性磁盘擦除工具被部署到乌克兰政府网站 乌克兰指责俄罗斯发起攻击

代号为锕的俄罗斯黑客组织:

微软使用元素周期表序号对该公司发现的黑客组织进行命名 ,  本次微软为黑客组织制定的代号为锕(ACTINIUM)。

这个代号为锕的黑客组织其他代号和名称还有 DEV-0157 及Gamaredon , 乌克兰称该组织是俄罗斯安全局下属。

微软研究人员称自2021年10月以来 ,锕针对乌克兰政府机构、公共事业单位以及私营企业进行多次破坏性攻击。

该黑客组织使用的攻击方式是鱼叉式网络钓鱼电子邮件,邮件中携带恶意软件的宏程序诱导受害者加载恶意软件。

最新出现的攻击在破坏方式上与此前的攻击也明显不同,黑客伪装成勒索软件但实际上会恶意擦除所有重要数据

通过邮件完成渗透:

微软日前发布公告称将默认禁用Microsoft Office 从互联网上下载和运行宏程序,以规避攻击者利用宏进行钓鱼。

看来这次推行新的安全策略也与俄罗斯黑客组织使用的攻击方式有关,利用宏可以诱导非专业人士运行恶意软件。

研究发现针对乌克兰的鱼叉式攻击会利用宏部署几个二进制文件,不同的文件功能不同下载的恶意软件也有不同。

名为PowerPunch的文件是个基于PowerShell的下载器和释放器 , 用于远程检索下一阶段的可执行文件然后下载。

名为Pterodo的文件是个功能不断更迭的后门程序,具有清理痕迹和隐藏自身功能从而加大安全专家分析的难度。

名为QuietSieve的文件是个高度混淆的 .NET 二进制文件,专门用于目标主机的数据泄露和侦察以获取更多线索。

目前相关黑客组织仍然还在继续活跃,预计在此次地缘政治问题没有彻底了结前各类黑客攻击事件应该不会停止。

感谢您的阅读,本文为蓝点网原创内容,转载时请标注来源于蓝点网和本文链接

相关文章

换一批