HackerNews 编译,转载请注明出处:
2025年1月21日,Ravie Lakshmanan报道了一起针对乌克兰的网络诈骗活动。未知的威胁行为者通过发送AnyDesk连接请求,伪装成网络安全机构,试图进行诈骗。
乌克兰计算机应急响应小组(CERT-UA)警告称,这些AnyDesk连接请求声称是为了进行“安全水平”评估的审计。CERT-UA提醒各组织警惕此类社会工程学攻击,这些攻击试图利用用户的信任。
CERT-UA指出:“在某些情况下,我们可能会使用AnyDesk等远程访问软件。”然而,此类行动仅在与网络安全防御对象的所有者通过官方批准的通信渠道事先达成一致后才会进行。
要使这种攻击成功,目标计算机上必须安装并运行AnyDesk远程访问软件,同时攻击者需要获取目标的AnyDesk标识符。这表明攻击者可能需要通过其他方式首先获取该标识符。为了降低这些攻击带来的风险,远程访问程序应仅在使用期间启用,并通过官方通信渠道进行协调。
与此同时,乌克兰国家特种通信和信息保护局(SSSCIP)透露,其网络安全事件响应中心在2024年共检测到1,042起事件,其中恶意代码和入侵尝试占所有事件的75%以上。
SSSCIP表示:“2024年,最活跃的网络威胁团伙是UAC-0010、UAC-0050和UAC-0006,它们分别擅长网络间谍活动、金融盗窃和信息心理战。”其中,UAC-0010(也被称为Aqua Blizzard和Gamaredon)被认为与277起事件有关;UAC-0050和UAC-0006分别与99起和174起事件有关。
此外,研究人员还发现了24个此前未被报告的“.shop”顶级域名,这些域名可能与亲俄黑客组织GhostWriter(也称为TA445、UAC-0057和UNC1151)有关。这些域名通过连接针对乌克兰的不同活动被发现。安全研究人员Will Thomas(@BushidoToken)的分析显示,这些活动中使用的域名均采用了相同的通用顶级域名(gTLD)、PublicDomainsRegistry注册商和Cloudflare域名服务器。所有被识别的服务器还配置了robots.txt目录。
随着俄乌战争即将进入第三年,针对俄罗斯的网络攻击也在增加,其目的是窃取敏感数据,并通过部署勒索软件来扰乱商业运营。
上周,网络安全公司F.A.C.C.T.将Sticky Werewolf组织与针对俄罗斯科研和生产企业的鱼叉式网络钓鱼活动联系起来。该活动旨在传播一种名为Ozone的远程访问木马,该木马能够为攻击者提供对受感染Windows系统的远程访问权限。F.A.C.C.T.还将Sticky Werewolf描述为一个亲乌克兰的网络间谍组织,主要针对俄罗斯的国家机构、科研院所和工业企业。然而,以色列网络安全公司Morphisec此前的分析指出,这种联系“仍不确定”。
目前尚不清楚这些攻击的成功率如何。在最近几个月中,其他被观察到针对俄罗斯实体的威胁活动团伙还包括Core Werewolf、Venture Wolf和Paper Werewolf(也称为GOFFEE)。其中,Paper Werewolf利用了一个名为Owowa的恶意IIS模块,以协助窃取凭据。
