根据最近的一份报告，与俄罗斯有关的网络犯罪分子使用的 Smokeloader 恶意软件仍然是乌克兰金融黑客的主要工具之一。 2023 年 5 月至 11 月期间，研究人员发现了 23 个 Smokeloader 活动，针对乌克兰的各种目标，包括金融机构和政府组织。 根据乌克兰主要国家网络机构 SSSCIP 与网络安全公司 Palo Alto Networks 合作发布的一份报告，黑客在 8 月和 10 月最为活跃，分别发起了 198 起和 174 起网络钓鱼事件。 乌克兰计算机应急响应小组 CERT-UA 追踪 Smokeloader 背后的组织 UAC-0006。该组织使用该恶意工具下载其他恶意软件，试图窃取乌克兰企业的资金。 据 CERT-UA 称，该恶意软件背后的组织试图从 2023 年 8 月至 9 月窃取数千万格里夫尼亚（1 美元=约 40 乌克兰格里夫尼亚）。 黑客主要通过网络钓鱼活动分发恶意软件，通常使用之前被泄露的电子邮件地址。研究人员表示，这种策略使他们能够“利用受信任的企业电子邮件帐户来提高欺骗目标陷入网络钓鱼企图的机会”。 一些电子邮件主题和文件名包含拼写错误或由乌克兰语和俄语单词混合组成。 在最近10 月份的活动中，黑客使用 Smokeloader 攻击国家、私人和金融机构，特别是会计部门。 黑客将 Smokeloader 隐藏在看似无害的财务文件之下。这些文件大多数都是合法的，并且是从之前受到威胁的组织中窃取的。 Smokeloader 使用各种规避策略来绕过安全措施而不被发现。最终获得系统访问权限后，它可以提取关键的设备信息，包括操作系统详细信息和位置数据。 研究人员表示，尽管乌克兰的 Smokeloader 攻击有所增加，但这种恶意软件“仍然是全球威胁，并且在针对其他国家的多个活动中继续出现”。 自 2011 年以来， 攻击者一直在地下论坛上为 Smokeloader 做广告。研究人员并未将这种恶意软件归因于特定的黑客组织，但他们认为与俄罗斯网络犯罪活动存在潜在联系。 多年来，Smokeloader 不断更新和发展，以跟上技术的步伐，以避免被安全供应商检测到。 自该恶意软件首次出现以来，各种组织已将其用于攻击全球不同的行业和组织。研究人员表示，这些活动包括最近在乌克兰发生的有针对性的网络攻击以及导致 Phobos 勒索软件感染的犯罪活动。 Phobos 是一种勒索软件即服务，允许网络犯罪分子通过网络钓鱼活动或暴力攻击获取登录凭据，其中攻击者尝试通过尝试不同的用户名和密码组合来访问目标帐户，直到找到正确的密码。 今年 2 月，黑客使用Phobos 变种攻击了为罗马尼亚医院提供服务的 IT 平台。此次攻击导致近 25 家医院的数据被加密，约 75 家医院的互联网被切断。   转自会杀毒的单发狗，原文链接：https://mp.weixin.qq.com/s/0KzKN433B9VLM_VOL-8p8Q 封面来源于网络，如有侵权请联系删除

据报道，由于俄乌冲突后欧洲对俄实施制裁升级，微软将于本月暂停俄罗斯用户访问其云服务。 俄罗斯科技公司 Softline 是该国最大的微软产品分销商之一，该公司上周在一份声明中表示，俄罗斯用户将于 3 月 20 日失去对微软提供的云服务的访问权限。 Softline 还在其创建的私人 Telegram 频道中分享了一封来自微软的信函，该频道是为了帮助客户过渡到本地软件提供商而创建的。其他几家当地科技公司证实，他们也收到了来自微软的警告电子邮件。Softline 分享了一封来自亚马逊的类似信函。 周一，Softline又发布声明称，根据微软的非官方消息，该公司正在讨论将其在俄罗斯的服务暂停时间推迟到本月底，微软尚未回应有关推迟暂停时间的置评请求。 Softline 表示：“这并没有取消所施加的限制，但它提供了收集数据和建立替代基础设施运营的现实时间表。” 根据微软致俄罗斯客户的信函，采取最新限制措施是为了回应欧盟的制裁，该制裁禁止微软向在俄罗斯注册的实体提供某些管理或设计软件，包括基于云的解决方案。 周二，Softline根据据报道从微软收到的信息，公布了将在俄罗斯被禁止的完整产品清单。这包括流行的商业智能工具，例如 Power BI，以及 Microsoft 的 Azure 服务、SQL Server、OneDrive 和 PowerShell。 为了避免“信息全部或部分丢失”，Softline 建议所有俄罗斯公司备份与外国供应商提供的云服务相关的数据。Softline 还提供迁移到国内替代方案的帮助，包括 Yandex 360、SaaS VK 和 Softline Universe。 西方科技公司撤离俄罗斯 两年前乌克兰战争爆发后，许多西方科技公司宣布将退出俄罗斯市场或暂停在那里销售服务——要么是出于道德原因，要么是由于欧盟或美国对俄罗斯实施的经济制裁，在俄罗斯为众多客户提供服务的大型科技公司并没有立即退出市场。 俄罗斯计算机技术制造商协会会长尼古拉·科姆列夫在接受《福布斯》采访时表示：“微软提前警告了这些限制，为传输数据和制作备份副本提供了机会。”据他介绍，并非每家公司都这样做。他说，美国软件巨头甲骨文“更突然地离开了，连同预付费许可证一起”，这导致了“分销商、集成商和最终客户之间的诉讼”。 早在八月，微软就宣布将停止向俄罗斯公司续订其产品许可证，并且不会通过电汇方式处理向当地银行账户的付款。 微软在战争初期发布的一份声明中表示：“我们正在与美国、欧盟和英国政府密切协调并步调一致，并且根据政府制裁决定，我们正在停止在俄罗斯的许多业务。” 2022 年，亚马逊还暂停向俄罗斯和白俄罗斯客户运送零售产品，阻止访问 Prime Video，并宣布不再接受来自俄罗斯和白俄罗斯的亚马逊网络服务 (AWS) 新注册。该公司表示，它有“不与俄罗斯政府开展业务的长期政策”。 AWS 在回应 Recorded Future News 的置评请求时表示，自 2022 年 3 月以来，它一直不允许新的俄罗斯客户，并且这些政策没有改变。 即使在外国科技公司宣布退出俄罗斯市场的决定之后，许多当地用户也没有急于转向当地替代品。该国高达 90% 的企业和国家客户都在使用Microsoft服务。 改用俄罗斯软件意味着适应新界面或改变整个信息技术基础设施。即使是看似简单的事情（例如文件格式和字体）在微软和俄罗斯操作系统之间也有所不同。 然而，当地技术专家批评俄罗斯用户对外国服务的依赖。 开发俄罗斯操作系统 Alt 的公司总经理阿列克谢·斯米尔诺夫 (Alexey Smirnov)表示：“使用微软的服务，尤其是数据存储服务，是一个短视的决定。存在风险，风险已成为现实。” 在某些行业，例如银行业，根本没有可以与 SAP 和 Oracle 等国际公司提供的产品相媲美的俄罗斯替代品。俄罗斯大型银行和金融服务机构甚至要求政府将转向国产技术的时间推迟到 2027 年，以便他们有更多时间重建系统。 俄罗斯德诺律师事务所顾问伊万·塞津 (Ivan Sezin) 表示，制裁也可能会影响俄罗斯建筑业。Sezin告诉《福布斯》俄罗斯版，禁止供应外国软件可能会延迟这些行业的数字化进程。 据报道，为了规避这些产品在俄罗斯销售的限制，地方政府机构和大公司正在通过其他国家的中介机构获取被禁止的外国技术。例如，尽管科技巨头思科一年前离开俄罗斯，但其网络设备仍在通过亚洲和土耳其的经销商进入该国。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/DbxWINpGMLAZxXzjTg7hqQ 封面来源于网络，如有侵权请联系删除

与俄罗斯有关的APT28黑客组织与多个正在进行的网络钓鱼活动有关，这些活动使用模仿欧洲、南高加索、中亚以及北美和南美政府和非政府组织 (NGO) 的诱饵文件。 研究人员表示：“发现的诱饵包括内部和公开可用的文件，以及可能由参与者生成的与金融、关键基础设施、高管参与、网络安全、海事安全、医疗保健、商业和国防工业生产相关的文件。”IBMX-Force研究人员在上周发布的一份报告中写道。 IBM X-Force正在追踪名为ITG05的活动，该组织别名包括：Blue Athena、BlueDelta、Fancy Bear、Fighting Ursa、Forest Blizzard（以前称为 Strontium）、FROZENLAKE、Iron Twilight、Pawn Storm、Sednit、Sofacy、TA422 和UAC-028。 ITG05 是一个有俄罗斯官方背景的黑客组织，由多个活动集群组成，与 APT28、UAC-028、Fancy Bear 和 Forest Blizzard 的活动重叠。 该报告是在发现使用以色列-哈马斯战争相关的诱饵来提供名为HeadLace的定制后门三个多月后发布的。 APT28 还向乌克兰政府实体和波兰组织发送网络钓鱼消息，这些消息旨在部署定制植入程序和信息窃取程序，例如MASEPIE、OCEANMAP 和 STEELHOOK。 其他活动需要利用Microsoft Outlook 中的安全漏洞（ CVE-2023-23397，CVSS 评分：9.8）来获取 NT LAN Manager (NTLM) v2 哈希值，从而增加了攻击者可能利用其他漏洞窃取 NTLMv2 哈希值的可能性用于中继攻击。 ITG05 活动的感染链示例 IBM X-Force 在 2023 年 11 月下旬至 2024 年 2 月期间观察到的最新活动中，攻击者利用Microsoft Windows 中的“search-ms:”URI 协议处理程序来诱骗受害者下载托管在攻击者控制的 WebDAV 服务器上的恶意软件。 有证据表明，WebDAV 服务器以及 MASEPIE C2 服务器可能托管在受感染的 Ubiquiti 路由器上，该路由器是一个僵尸网络，上个月已被美国政府捣毁。 网络钓鱼攻击冒充来自阿根廷、乌克兰、格鲁吉亚、白俄罗斯、哈萨克斯坦、波兰、亚美尼亚、阿塞拜疆和美国等多个国家的实体，利用真实的公开政府和非政府诱饵文件来激活感染链。 安全研究人员 Joe Fasulo、Claire Zaboeva 和 Golo Mühr 表示：“在对其方法的更新中，ITG05 正在利用免费的托管提供商 firstcloudit[.]com 来暂存有效负载，以实现持续的操作。” APT28 精心策划的计划以 MASEPIE、OCEANMAP 和 STEELHOOK 的执行而告终，这些软件旨在窃取文件、运行任意命令和窃取浏览器数据。OCEANMAP 被认为是 CredoMap 的功能更强大的版本，CredoMap 是该组织先前确定使用的另一个后门。 研究人员总结道：“ITG05 通过提供新的感染方法和利用商用基础设施，同时不断发展恶意软件功能，始终能够适应机会的变化。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/ewzUZU83mFfvp407SbJuzQ 封面来源于网络，如有侵权请联系删除

俄罗斯黑客通过电子战攻击摧毁了英国国防部长格兰特·沙普斯皇家空军达索猎鹰 900 喷气式飞机的 GPS 和通信系统。 国防部长格兰特·沙普斯乘坐英国皇家空军达索猎鹰 900 喷气式飞机从波兰飞往英国，他在波兰访问了坚定卫士中的英国军队，英国国防部长确认英国完全支持乌克兰。 英国皇家空军达索猎鹰 900 喷气式飞机上的《太阳报》防务编辑报道称，据称俄罗斯发起的干扰攻击导致 GPS 和通信瘫痪。 英国皇家空军飞行员证实，格兰特·沙普斯飞机在加里宁格勒附近飞行时，GPS 和其他信号被屏蔽近 30 分钟，加里宁格勒是与波兰相邻的俄罗斯飞地。 如果确认电子战攻击击中了飞机，但没有影响飞机的安全。 据英国官员称，沙普斯的飞机并不是外科手术式攻击的目标，而是受到俄罗斯大规模干扰卫星通信和信号的影响，这些干扰可能影响所有飞机和 GPS 设备。 沙普斯——一名合格的飞行员——确信电子战攻击不会影响飞机的安全。他在参观了参加冷战结束以来北约规模最大的军事演习“坚定卫士”的英国军队后，从波兰的希马尼机场飞回。” “坚定捍卫者2024”是北约自冷战以来最大规模的军事演习，旨在测试该联盟在多个领域的准备情况和自卫能力。此次演习于2024年1月22日至5月31日举行。 这是一次多域演习，意味着参与者将在陆地、空中、海上、网络和太空等多种环境下参与战争行动，以及对航空电子系统的网络攻击。 一位国防消息人士告诉《太阳报》，这种干扰是“极不负责任的”。“虽然英国皇家空军已做好应对这一问题的充分准备，但这仍然给民用飞机带来不必要的风险，并可能危及人们的生命。俄罗斯这样做没有任何借口，而且是非常不负责任的。” 自俄罗斯入侵乌克兰以来，专家报告东欧发生多起电子战袭击事件。 “武器干扰了北约东翼航班和船只上的 GPS 技术 ，造成了严重干扰。” 《太阳报》二月份报道。 西方情报机构了解俄罗斯位于加里宁格勒的电子战能力，用于瞄准商业客机和海船。 《太阳报》指出，英国皇家空军飞行员能够恢复使用替代的故障安全系统。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/flQG5TtrmjYwtMa-cEj7DQ 封面来源于网络，如有侵权请联系删除

微软周五警告称，对美国政府发起数次引人注目的攻击的俄罗斯黑客现在正在利用他们 11 月份从微软公司系统中窃取的信息。 微软表示，与我们在 2024 年 1 月看到的已经很大的攻击量相比，2 月份黑客在某些方面的攻击量增加了 10 倍之多。 微软安全团队表示，最近几周，有证据表明俄罗斯外国情报局 (SVR) 的网络间谍组织一直在使用从该公司企业电子邮件环境中窃取的信息。 黑客正在利用他们在 11 月份事件中获取的信息（该事件于 1 月份发现）“获得或试图获得未经授权的访问”。 Midnight Blizzard(午夜暴雪)正在尝试使用它发现的与客户共享的不同类型的秘密。一月份，Midnight Blizzard 被发现试图渗透微软公司系统。 “这包括访问公司的一些源代码存储库和内部系统。迄今为止，我们还没有发现任何证据表明微软托管的面向客户的系统已受到损害。”微软表示。 周五的警告涉及微软称为 Midnight Blizzard 的网络间谍组织，美国政府已将其与 SVR 联系起来。 “很明显，午夜暴雪正在尝试使用它发现的不同类型的秘密。其中一些机密是在客户和微软之间通过电子邮件共享的，当我们在泄露的电子邮件中发现这些机密时，我们已经并且正在与这些客户联系，以帮助他们采取缓解措施。”微软表示。 微软表示，该组织大大增加了操作的某些方面，例如“密码喷射攻击”，或使用多个帐户上发现的密码来尝试访问。 该公司补充说，该组织可能正在利用其拥有的信息“积累攻击区域的图片并增强其攻击能力”。对该活动的调查仍在进行中，但微软警告称，此次攻击的特点是“持续、投入资源、协调和重点。” 微软向美国证券交易委员会 (SEC)提交了文件，重申了博文中的内容。 Midnight Blizzard（午夜暴雪）也被西方网络安全研究人员称为 Cozy Bear、BlueBravo 和 APT29。 微软最初于 1 月 19 日宣布了该问题，并表示该活动始于 2023 年 11 月下旬，当时黑客入侵了一个测试帐户，并访问了微软高级领导团队以及涉及网络安全、法律和其他职能的员工的电子邮件帐户。 黑客在攻击过程中窃取了电子邮件和附加文档。微软的一项调查表明，黑客正在寻找有关他们自己的信息。微软因没有解释黑客如何从他们所谓的“非生产测试帐户”进入公司高级领导的收件箱而受到批评。 微软曾将其称为 Nobelium，Midnight Blizzard 因其 2020 年对科技公司 SolarWinds 的攻击而闻名，这使得它能够广泛接触到几家大公司以及国防部、司法部、商务部、财政部、国务院和其他美国政府部门。 上周，英国国家网络安全中心 (NCSC) 和五眼联盟的国际合作伙伴警告称，SVR 正在调整其技术，以入侵已将网络转移到云托管环境中的组织。 在过去 12 个月中，黑客“被发现窃取系统颁发的访问令牌以危害受害者帐户”。如果黑客破坏了有权访问公司资源的个人非托管设备，这些访问令牌可能会被盗。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/K8RYfy3565m-FWMLyxmMWg 封面来源于网络，如有侵权请联系删除

近日，乌克兰国防部情报总局（GUR）声称入侵了俄罗斯国防部（Minoborony）的内部服务器，并成功窃取大量敏感文件。 乌克兰某政府网站上发布了一份新闻稿，将此次网络攻击事件定性为 GUR 网络专家实施的“特别行动”。GUR 表示，通过本次网络入侵行动，乌方获取了包含俄罗斯特工详细信息在内的大量敏感文件。主要包括如下内容： 俄罗斯国防部用于保护和加密数据的软件； 俄罗斯国防部的一系列特勤文件，包括命令、报告、指令和各种其他文件，在国防部 2000 多个结构单位中分发； 允许建立 Minoborony 系统及其链接的完整结构的信息； 属于俄罗斯国防部副部长蒂穆尔·瓦迪莫维奇·伊万诺夫的文件； 此外，GUR 还发布了四张显示数据库查询结果、日志文件和概述官方程序/指南的文件的截图，作为其成功发动网络入侵的证据。 乌克兰网军多次攻击俄罗斯政府部门 2023 年 11 月，乌克兰国防部下属情报部门团队成员成功侵入了俄罗斯联邦航空运输署（Rosaviatsia），揭露了所谓的俄罗斯航空业“崩溃”事件。据悉，Rosaviatsia 主要职责是监督俄罗斯民航业，负责记录飞行或紧急事件。 从乌克兰方面发布的公告来看，乌国防部下属情报部的工作人员侵入了俄罗斯 Rosaviatsia  机构，窃取了大量文件，可以确定俄罗斯航空部门因为西方国家对备件和软件更新的制裁，导致无法正常修理飞机而遭受损失。 值得注意的是，此次网络攻击事件是首次有国家公开承认的国家级黑客攻击行为，乌克兰政府将其描述为 “网络空间的复杂特殊行动”。乌克兰方面在本次网络攻击相关的公告中表示，通过黑客攻击和渗透敌方（俄罗斯）信息系统，获得了大量的数据，其中主要包括俄罗斯联邦国家航空安全局一年半多以来的报告清单。 一个月后，乌克兰政府军事情报部门又宣称成功入侵了俄罗斯联邦税务局（FNS），并清除了该机构的数据库和备份副本。 从后续乌克兰方面透露的信息来看，本次网络入侵行动由乌克兰国防情报局的网络军事部门策划实施，入侵了俄罗斯联邦税务局的中央服务器以及乌克兰被占领土上的 2300 个地区服务器，导致所有受损的 FTS 服务器都感染了恶意软件，俄罗斯税收系统中重要的配置文件被完全删除，主数据库及其备份文件被清除，一家为 FNS 提供数据中心服务的俄罗斯 IT 公司也遭到疯狂的网络攻击。 乌克兰情报总局（GUR）指出，此次网络攻击活动造成了严重影响，导致莫斯科中央办公室与 2300 个领土部门之间的通信中断，这些部门也在此次攻击中遭到重创，与税收相关的数据大量丢失，俄罗斯各地与税收数据相关的互联网流量落入乌克兰军事情报人员之手。 尽管俄罗斯正在努力尝试恢复 FNS（联邦税务局）服务，但目前仍未成功，GUR 方面估计俄罗斯税务系统瘫痪将持续至少一个月，完全恢复几乎不可能。GUR 还指出此次网络攻击的成功进行意味着俄罗斯主要国家机构之一的基础设施和大量相关税收数据将在很长一段时间内遭到彻底破坏。   转自Freebuf，原文链接：https://www.freebuf.com/news/393297.html 封面来源于网络，如有侵权请联系删除

俄罗斯间谍记录了德国高级军官讨论可能向乌克兰和潜在目标交付金牛座巡航导弹的情况。在仅仅通过参加 Webex 会议就获得了泄露的 38 分钟音频文件后，德国联邦国防军的信息安全实践现在受到质疑。 3 月 1 日，俄罗斯国家广播公司 RT 的负责人玛格丽塔·西蒙尼扬 (Margarita Simonyan) 发表了一份似乎是德国空军将军和其他高级领导人讨论的文字记录。 RT称，其确认了参加电话会议的四名德国军方官员中的两名身份，其中包括空军作战负责人弗兰克·格雷夫准将和空军参谋长英戈·格哈茨中将。 将军们正在讨论向乌克兰交付金牛座导弹的可能性、潜在目标，包括连接被占领的克里米亚和俄罗斯并具有战略和政治重要性的刻赤大桥，以及成功攻击所需的理论上的可能性。 金牛座导弹的射程约为310英里，远大于英国向乌克兰提供的“风暴之影”巡航导弹的射程约为155英里。 西蒙尼扬在她的社交媒体帐户上分享了完整的录音以及俄语翻译。RT 夸口说，空军司令英戈·格哈茨中将悲伤地说：“如果我们与乌克兰武装部队有直接联系，那将是令人担忧的。” 据德国之声报道，德国国防部已证实该机密录音的真实性，德国总理奥拉夫·肖尔茨称这是“非常严重的事件” 。 德国军官未能使用安全的加密通道进行对话，而是加入了思科 WebEx 会议平台上的通话。俄罗斯间谍设法拦截了它。 据Heise.de报道，德国联邦国防军官员经常使用思科的 WebEx 。但是，通过电话或浏览器拨入时，无法在该系统上建立端到端加密连接。在许多情况下，IT 经理必须设置并激活该功能，并且必须为用户分配这些选项。 据德国媒体报道，一名军官在新加坡一家酒店用手机拨打了会议电话。据Stack 报道，俄罗斯间谍可能只是在未被注意到的情况下拨打了电话。 目前尚未正式确认俄罗斯间谍利用了哪些潜在漏洞。 该事件在德国政界引起轩然大波。德国联邦议院国防委员会主席玛丽·艾格尼丝·斯特莱克·齐默尔曼呼吁加强安全和反情报工作。据《华尔街日报》报道，国防部长鲍里斯·皮斯托利斯已对他所说的俄罗斯旨在传播虚假信息的混合攻击展开调查。 一位不愿透露姓名的前德国联邦国防军高级军官对《政客》杂志表示：“现在必须采取行动。” “通过不安全的线路进行如此高度机密的对话是严重疏忽。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/rF6QZtNp3A1bVUbo8BTOrg 封面来源于网络，如有侵权请联系删除

有消息称，一名俄罗斯公民被指控，对本地发电厂进行网络攻击，导致大范围停电。 据塔斯社报道，一名49岁的俄罗斯公民即将面临审判。他被控实施网络攻击，导致沃洛格达地区38个村庄陷入黑暗。 这次攻击发生在一年前，该男子面临最长达八年的监禁。 俄罗斯联邦安全局沃洛格达地区部门的新闻处向塔斯社表示：“我们已经完成对黑客切断沃洛格达地区38个定居点电力供应一事的刑事调查。俄罗斯联邦安全局沃洛格达地区总局确定，这位1975年出生的本地居民，在2023年2月非法访问了电网的技术控制系统，并切断了沃洛格达地区舍克斯纳区、乌斯秋日纳区和巴巴耶沃区共38个定居点的电力供应。” 塔斯社报道，俄罗斯当局已经根据当地刑法第274.1条第4部分对此事件立案。 当地政府已经完成调查，并将证据送交法院做最终裁决。 俄罗斯联邦安全局向塔斯社表示，该嫌疑人目前有义务留在指定地点。 目前尚不清楚被告是否隶属于黑客组织，亦不清楚这次攻击是否系因俄乌战争对对俄罗斯政府发起的网络激进主义行为。   转自安全内参，原文链接：https://www.secrss.com/articles/63967 封面来源于网络，如有侵权请联系删除

研究人员表示，过去一年来，来自世界各地的至少14个国家支持的黑客组织瞄准了俄罗斯以及部分原苏联成员国，如阿塞拜疆、白俄罗斯、吉尔吉斯斯坦和哈萨克斯坦，并进行了破坏或间谍活动。 俄罗斯网络安全公司F.A.C.C.T.的报告指出，其中一些APT组织可能与乌克兰有联系，后者正在与俄罗斯交战；另一些则代表自己的国家利益行事，包括朝鲜等国。F.A.C.C.T.此前是知名网络安全公司Group-IB的子公司，于去年4月独立，Group-IB在去年退出了俄罗斯市场。 F.A.C.C.T.称，这份报告为关于俄罗斯等部分原苏联国家，面临的“网络威胁战略和战术提供了最全面的数据来源”。由于俄乌战争爆发，西方安全公司选择退出俄罗斯市场，这导致它们对这些地区的了解程度有限。 研究发现，在间谍活动方面，那些表面上是伙伴或盟友的国家正在利用网络空间相互监视。 F.A.C.C.T.的报告是用俄语编写的，只有在预定义的国家列表中的用户才能下载，这些国家包括亚美尼亚、格鲁吉亚和乌克兰。 国家级网络威胁 报告显示，2023年俄罗斯面临的出于政治动机的攻击，较前一年增加了116%。研究人员发现，至少有28次针对俄罗斯机构的重大攻击活动，是由外国国家控制的黑客组织发动。 对于这些黑客组织来说，最有利可图的目标是俄罗斯政府和军事机构、工业企业、能源公司和电信提供商。F.A.C.C.T.表示，这些攻击通常是为了完成间谍活动。 一些国家支持的黑客组织，比如跟踪代号XDSpy、Cloud Atlas等组织，过去经常攻击俄罗斯。还有一些组织，比如跟踪代号Tomiris的俄语组织，刚刚开始扩展其在该地区的攻击能力。 过去一年里，针对俄罗斯的主要网络攻击有三角测量行动，俄罗斯将其归咎于美国情报机构；与朝鲜相关的APT37组织对俄罗斯国防企业发起的攻击，导致数据泄露；以及跟踪代号为Hellhounds的新组织发起的间谍活动，针对的是俄罗斯航天、物流、能源和国有企业。 该地区的其他俄语国家也成为了国家级黑客的受害者。例如，与亚洲某国有关的SugarGh0st组织瞄准了乌兹别克斯坦外交部，而Cloud Atlas和Sticky Werewolf组织则针对白俄罗斯政府机构发动了攻击。 要弄清楚国家控制的黑客组织究竟听命于哪个国家并非易事。例如，最活跃的威胁行为者之一XDSpy至少从2011年以来一直在运作，主要针对俄罗斯的关键基础设施，然而世界各地的研究人员都无法确定其代表哪个国家的利益。 激进黑客攻击 对俄罗斯企业的另一种有政治动机的威胁，是志愿者发起的网络攻击，此类攻击者更为人熟知的称呼是激进黑客。 F.A.C.C.T.研究人员表示，从发动DDoS攻击的数量来看，乌克兰IT部队仍然是该地区最活跃激进的黑客组织。过去一年中，该组织引入了新工具，并可能与其他当地激进黑客组织合流。 去年早些时候，与乌克兰IT部队有关的分支团队启动了一项名为Activeness的在线服务，旨在在社交网络上推广某些叙事。研究人员表示，此前乌克兰网络部队已经发动过类似行动，但“可能收效甚微”。 另一个名为“白俄罗斯网络游击队”的激进黑客组织，去年针对白俄罗斯和俄罗斯发动了至少六次攻击。其中至少有两次使用了未知的加密病毒，其他几次则是破坏活动，旨在篡改网站界面或泄露机密数据。 研究人员还发现了追求金融和政治利益的组织。其中一个是犯罪集团Comet Twelve。Comet团队要求受害者支付赎金，否则将拒绝解密并分发被盗数据。而Twelve团队不提出赎金要求，直接破坏受害者的网络。这两个团队使用相同的基础设施、战术和攻击工具。 F.A.C.C.T.将Twelve与Muppets和BlackJack等黑客组织联系在一起。今年1月初，BlackJack声称对莫斯科互联网供应商的攻击负责，据信此次攻击系该组织与乌克兰安全部门SBU合作进行。 研究人员说：“在严峻的地缘政治冲突中，激进黑客活动和亲政府黑客组织的活动在近几年不会减少。他们的优先目标将是间谍活动、窃取知识产权、获取公司数据库的访问权限。” 总体而言，去年黑客和激进黑客在暗网上新发布了246个俄罗斯公司数据库。根据报告，网络犯罪分子不会立即发布泄露的数据，而是利用数据对商业和公共领域的主要参与者发动新的攻击。 根据F.A.C.C.T.的预测，今年俄罗斯会受到来自世界各地“敌对”国家和“中立”国家的持续攻击。研究人员表示，攻击还会由内部人员发动，比如已经离开俄罗斯的公司前员工。   转自安全内参，原文链接：https://www.secrss.com/articles/64064 封面来源于网络，如有侵权请联系删除

FBI 在与 NSA、美国网络司令部和国际合作伙伴发布的联合报告中表示，俄罗斯军事黑客正在使用受损的 Ubiquiti EdgeRouter 来逃避检测。 APT28网络间谍是俄罗斯总参谋部主要情报局 (GRU) 的一部分，他们使用这些被劫持且非常流行的路由器来构建广泛的僵尸网络，帮助他们窃取凭据、收集 NTLMv2 摘要和代理恶意流量。 它们还用于在针对全球军队、政府和其他组织的秘密网络行动中托管自定义工具和网络钓鱼登陆页面。 联合咨询警告称：“EdgeRouters 通常附带默认凭据，并且仅限于没有防火墙保护来适应无线互联网服务提供商 (WISP) 。” “此外，EdgeRouters 不会自动更新固件，除非消费者对其进行配置。” 本月早些时候，FBI破坏了 Ubiquiti EdgeRouters 的僵尸网络，该僵尸网络被与 APT28 无关的网络犯罪分子感染了 Moobot 恶意软件，俄罗斯黑客组织后来将 APT28 重新用于构建具有全球影响力的网络间谍工具。 在调查被黑客入侵的路由器时，FBI 发现了各种 APT28 工具和工件，包括用于窃取 Web 邮件凭据的 Python 脚本、旨在收集 NTLMv2 摘要的程序，以及自动将网络钓鱼流量重定向到专用攻击基础设施的自定义路由规则。 APT28 是一个臭名昭著的俄罗斯黑客组织，自其首次运营以来被发现对数起备受瞩目的网络攻击负有责任。 他们在 2016 年美国总统大选前攻陷了德国联邦议会 (Deutscher Bundestag)，并幕后攻击民主党国会竞选委员会 (DCCC) 和民主党全国委员会 (DNC) 。 两年后，APT28 成员因参与 DNC 和 DCCC 攻击而在美国受到指控。欧盟理事会还于 2020 年 10 月对参与德国联邦议会黑客攻击的APT28 成员进行了制裁。 如何“恢复”被劫持的 Ubiquiti EdgeRouters FBI 和今天发布建议的合作伙伴机构建议采取以下措施来消除恶意软件感染并阻止 APT28 访问受感染的路由器： 执行硬件出厂重置以清除恶意文件的文件系统 升级到最新固件版本 更改任何默认用户名和密码 在 WAN 侧接口上实施战略防火墙规则，以防止远程管理服务遭受不必要的暴露。 FBI 正在寻找有关 APT28 在被黑客攻击的 EdgeRouters 上活动的信息，以防止进一步使用这些技术并追究责任人的责任。 美国和英国当局于六年前（即 2018 年 4 月）发布的联合警报还警告称，俄罗斯国家支持的攻击者正在积极瞄准和攻击家庭和企业路由器。 正如 2018 年 4 月的通报所警告的那样，俄罗斯黑客历来以互联网路由设备为目标，进行中间人攻击，以支持间谍活动、保持对受害者网络的持续访问，并为其他攻击行动奠定基础。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/99dkf6duob2ii3Lfl170Zw 封面来源于网络，如有侵权请联系删除