微軟在近日發布的一篇關於ACTINIUM黑客組織的研究報告中表示,在過去的六個月中,微軟威脅情報中心MSTIC觀察到ACTINIUM針對烏克蘭的政府、軍事、司法、執法、非政府組織和非營利組織的一系列行動,其主要目的為竊取敏感數據、保持訪問權限,並使用獲得的訪問權限橫向進入相關組織。在去年11月,烏克蘭政府已公開將該組織的行動歸咎於俄羅斯聯邦安全局(FSB)。
ACTINIUM組織又名Shuckworm、Gameredon、Armageddon ,該組織已經運營了近十年,自2013年以來一直活躍,專門從事主要針對烏克蘭實體的網絡間諜活動。該組織使用網絡釣魚電子郵件向目標分發遠程訪問工具,包括合法且功能齊全的開源遠程控制程序UltraVNC,以及名為Pterodo / Pteranodon的定製惡意軟件。
烏克蘭安全局(SSU)最近發布的一份報告指出,該組織的攻擊近年來變得越來越複雜,攻擊者現在使用離地(living-off-the-land)工具竊取憑據並在受害者網絡上橫向移動。
ACTINIUM最常用的訪問媒介之一是帶有惡意宏附件的魚叉式網絡釣魚電子郵件,通過遠程模板注入的方式進行攻擊。遠程模板注入利用Office文檔加載附加模板的缺陷發起惡意請求來達到攻擊目的。
使用遠程模板注入可確保僅在需要時(例如當用戶打開文檔時)加載惡意內容,而文檔本身沒有惡意代碼,這有助於攻擊者避開靜態檢測。遠程託管惡意宏還允許攻擊者控制交付惡意組件的時間和方式,通過阻止自動化系統獲取和分析惡意組件來進一步規避檢測。
烏克蘭安全局在去年11月發布的報告中聲稱,自2014年以來,ACTINIUM組織已經對1500多個烏克蘭政府機構進行了5000多次攻擊。這些攻擊者的目標包括:
竊取情報,包括訪問受限的信息(與安全和國防部門、政府機構有關);
信息和心理影響;
破壞信息系統。
另外,ACTINIUM是一組單獨的活動,與之前的文章(微軟稱發現針對烏克蘭的破壞性惡意軟件)中描述的DEV-0586破壞性惡意軟件活動沒有明顯關係。
關於該組織及其攻擊技術與過程的更多細節分析請看:
https://www.microsoft.com/security/blog/2022/02/04/actinium-targets-ukrainian-organizations/
推薦文章++++
球分享
球點讚
球在看
留言列表