Hackernews 编译,转载请注明出处:
俄罗斯黑客使用了一个名为Somnia的新勒索软件来攻击乌克兰的多个组织。
政府专家将这些攻击归咎于“来自俄罗斯的爱”(FRwL)(又名Z-Team,UAC-0118)组织,据信这是一个亲俄罗斯的黑客活动组织。
CERT-UA发布的公告称:“FRwL(又名Z-Team)的活动由CERT-UA以标识符UAC-0118进行监控,对未经授权干预攻击目标的自动化系统和电子计算机的操作负责。”
调查发现,最初的入侵是由于下载和运行了一个模仿“高级IP扫描仪”软件的文件,但实际上包含了Vidar恶意软件。
根据警报,乌克兰组织最初被相关访问代理入侵,然后将泄露的数据转移给FRwL集团,该集团利用该数据进行网络攻击。
用作诱饵的“高级IP扫描仪”软件实际上包含了Vidar恶意软件,这是一种窃取数据的恶意软件,还能够捕获Telegram会话数据并接管受害者的帐户。
然后,黑客滥用受害者的Telegram帐户来窃取VPN配置数据(身份验证和证书)。如果VPN帐户未受到双重身份验证的保护,则黑客可以使用VPN连接获得公司网络的未经授权的连接。
一旦获得对目标网络的访问权限,攻击者就会使用Netscan等工具进行侦察,并在泄露数据之前部署Cobalt Strike Beacons。
需要强调的是,Somnia攻击背后的黑客并不要求支付赎金,他们的行动旨在破坏目标的网络。
CERT-UA还报告说,Somnia恶意软件正在不断发展。该恶意软件的第一个版本使用对称3DES算法,而第二个版本使用AES算法,同时,考虑到密钥和初始化向量的动态性,根据攻击者的理论计划,这个版本的Somnia不提供数据解密的可能性。
消息来源:securityaffairs,译者:Shirley;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc ” 并附上原文