|
根據(jù)Check Point(全球頂尖Internet 安全解決方案供應(yīng)商)研究表明�����,自俄烏沖突爆發(fā)以來(lái)�,網(wǎng)絡(luò)間諜組織Cloud Atlas加大了針對(duì)俄羅斯、白俄羅斯以及烏克蘭和摩爾多瓦爭(zhēng)議地區(qū)的活動(dòng)����。 該組織自2014年以來(lái)一直活躍,但自俄烏沖突爆發(fā)以來(lái)�,它主要襲擊了俄羅斯、白俄羅斯��、德涅斯特河沿岸(摩爾多瓦的一個(gè)親克里姆林宮的分離地區(qū))以及俄羅斯占領(lǐng)的烏克蘭領(lǐng)土���,包括克里米亞�、盧甘斯克和頓涅茨克��。 據(jù)Positive Technologies(俄羅斯網(wǎng)絡(luò)安全公司)的研究人員稱(chēng)�����,該組織的目標(biāo)是間諜活動(dòng)和竊取機(jī)密信息�。目前暫不清楚誰(shuí)是該組織的幕后黑手�����。 Check Point稱(chēng)�����,Cloud Atlas一直堅(jiān)持其“簡(jiǎn)單但有效”的方法�,這些方法并沒(méi)有隨著時(shí)間的推移而改變�。該組織使用所謂的模板注入攻擊,濫用Microsoft Word中的功能�,向受害者發(fā)送惡意負(fù)載。這些文檔通常是為特定目標(biāo)而制作的��,這使得它們幾乎無(wú)法檢測(cè)����。 有證據(jù)表明���,該組織在6月份對(duì)俄語(yǔ)組織進(jìn)行了多次成功的入侵��,而這些入侵是在攻擊者已經(jīng)完全訪問(wèn)了整個(gè)網(wǎng)絡(luò)(包括域控制器)之后才被發(fā)現(xiàn)的�。 根據(jù)Check Point的說(shuō)法���,在俄烏沖突之前�,Cloud Atlas主要針對(duì)亞洲和歐洲的部委、外交實(shí)體和工業(yè)設(shè)施��。Positive Technologies發(fā)現(xiàn)��,其目標(biāo)還包括阿塞拜疆��、土耳其和斯洛文尼亞的政府機(jī)構(gòu)��。Cloud Atlas通常使用帶有惡意附件的網(wǎng)絡(luò)釣魚(yú)電子郵件來(lái)獲得對(duì)受害者計(jì)算機(jī)的初始訪問(wèn)��。這些文件精心制作�����,以模仿政府聲明���、媒體文章��、商業(yè)建議或廣告��。Positive Technologies稱(chēng)��,.DOC格式可能不會(huì)被防病毒軟件標(biāo)記為惡意��,因?yàn)槲臋n本身只包含一個(gè)帶有漏洞的模板鏈接����。打開(kāi)文檔時(shí),將自動(dòng)從遠(yuǎn)程服務(wù)器下載此模板��。針對(duì)白俄羅斯實(shí)體的釣魚(yú)信示例(圖片:檢查點(diǎn)) 黑客大多使用Yandex���、Mail.ru���、Outlook.com等公共電子郵件服務(wù),但有時(shí)他們會(huì)欺騙受害者可能信任的其他組織的現(xiàn)有域�����。例如�����,在最近的一次攻擊中���,黑客偽裝成代表俄羅斯著名新聞媒體Lenta.ru寫(xiě)作。大多數(shù)釣魚(yú)信都與目標(biāo)國(guó)家當(dāng)前的地緣政治問(wèn)題有關(guān)�。例如��,今年3月和4月��,Cloud Atlas將目標(biāo)對(duì)準(zhǔn)了德涅斯特河沿岸地區(qū)��,因?yàn)閾?dān)心俄羅斯會(huì)試圖擴(kuò)大對(duì)該地區(qū)的控制��,從西方襲擊烏克蘭�。在白俄羅斯�,Cloud Atlas主要針對(duì)交通和軍用無(wú)線(xiàn)電電子行業(yè),在俄羅斯�,它專(zhuān)注于政府部門(mén)和能源設(shè)施。2019年被Cloud Atlas冊(cè)列為目標(biāo)國(guó)家(圖片:SECURELIST) 攻擊者通過(guò)將目標(biāo)列入白名單來(lái)嚴(yán)密控制誰(shuí)可以訪問(wèn)他們的惡意附件��。根據(jù)Check Point的說(shuō)法����,為了收集受害者的IP信息,Cloud Atlas首先向他們發(fā)送了偵察文件����,其中除了對(duì)受害者進(jìn)行指紋識(shí)別外,不包含任何惡意文件���。Positive Technologies的研究人員注意到��,沒(méi)有任何關(guān)于接受者的公開(kāi)信息��,“這可能表明襲擊準(zhǔn)備充分�。”
|
