疑為俄羅斯背景的黑客組織長期攻擊烏克蘭關鍵機構

編輯：左右裡

微軟在近日釋出的一篇關於ACTINIUM黑客組織的研究報告中表示，在過去的六個月中，微軟威脅情報中心MSTIC觀察到ACTINIUM針對烏克蘭的政府、軍事、司法、執法、非政府組織和非營利組織的一系列行動，其主要目的為竊取敏感資料、保持訪問許可權，並使用獲得的訪問許可權橫向進入相關組織。在去年11月，烏克蘭政府已公開將該組織的行動歸咎於俄羅斯聯邦安全域性（FSB）。

ACTINIUM組織又名Shuckworm、Gameredon、Armageddon ，該組織已經運營了近十年，自2013年以來一直活躍，專門從事主要針對烏克蘭實體的網路間諜活動。該組織使用網路釣魚電子郵件向目標分發遠端訪問工具，包括合法且功能齊全的開源遠端控制程式UltraVNC，以及名為Pterodo / Pteranodon的定製惡意軟體。

烏克蘭安全域性（SSU）最近釋出的一份報告指出，該組織的攻擊近年來變得越來越複雜，攻擊者現在使用離地（living-off-the-land）工具竊取憑據並在受害者網路上橫向移動。

ACTINIUM最常用的訪問媒介之一是帶有惡意巨集附件的魚叉式網路釣魚電子郵件，通過遠端模板注入的方式進行攻擊。遠端模板注入利用Office文件載入附加模板的缺陷發起惡意請求來達到攻擊目的。

使用遠端模板注入可確保僅在需要時（例如當使用者開啟文件時）載入惡意內容，而文件本身沒有惡意程式碼，這有助於攻擊者避開靜態檢測。遠端託管惡意巨集還允許攻擊者控制交付惡意元件的時間和方式，通過阻止自動化系統獲取和分析惡意元件來進一步規避檢測。

烏克蘭安全域性在去年11月釋出的報告中聲稱，自2014年以來，ACTINIUM組織已經對1500多個烏克蘭政府機構進行了5000多次攻擊。這些攻擊者的目標包括：

控制關鍵基礎設施（發電廠、供熱和供水系統）；

竊取情報，包括訪問受限的資訊（與安全和國防部門、政府機構有關）；

資訊和心理影響；

破壞資訊系統。

另外，ACTINIUM是一組單獨的活動，與之前的文章（微軟稱發現針對烏克蘭的破壞性惡意軟體）中描述的DEV-0586破壞性惡意軟體活動沒有明顯關係。

關於該組織及其攻擊技術與過程的更多細節分析請看：

https://www.microsoft.com/security/blog/2022/02/04/actinium-targets-ukrainian-organizations/

資訊來源：Microsoft Security

轉載請註明出處和本文連結

推薦文章++++

* 美國追回六年前黑客從Bitfinex竊取的現值36億美元加密貨幣

* 美國FCC禁止中國聯通在美運營

* 推特透明度報告：美國政府索要的資訊最多

* 蘋果CEO庫克遭跟蹤威脅一年多，對方自稱是其妻子

* Tor Project對俄羅斯封禁Tor網站及節點提起上訴

* 美國學區網路保險費用上漲至去年三倍多

* 印尼央行確認遭受勒索軟體攻擊

﹀

﹀

﹀