安全研究人员表示,他们最近观察到一个俄罗斯黑客团队,他们是破坏性 WhisperGate 恶意软件网络攻击的幕后黑手,他们使用一种新的信息窃取恶意软件针对乌克兰实体。
赛门铁克的威胁猎手团队将此活动归因于一个与俄罗斯有联系的网络威胁参与者,该参与者被广泛称为 TA471(或 UAC-0056),自 2021 年初以来一直活跃。众所周知,该组织支持俄罗斯政府的利益,虽然它主要以乌克兰为目标,该组织还积极针对北美和欧洲的北约成员国。 TA471与 WhisperGate 相关联,这是一种破坏性的数据擦除恶意软件,曾在 2022 年 1 月针对乌克兰目标的多次网络攻击中使用。该恶意软件伪装成勒索软件,但使目标设备完全无法操作,即使支付赎金也无法恢复文件.
根据赛门铁克的说法,黑客团队的最新活动依赖于以前看不见的信息窃取恶意软件,它称之为“Graphiron”,用于针对乌克兰组织。据研究人员称,从 2022 年 10 月到至少 2023 年 1 月中旬,该恶意软件被用来从受感染的机器上窃取数据,可以合理地假设它仍然是 [黑客] 工具包的一部分。”
信息窃取恶意软件使用旨在伪装成合法 Microsoft Office 文件的文件名,并且类似于其他 TA471 工具,例如GraphSteel 和 GrimPlant ,这些工具以前被用作专门针对乌克兰国家机构的鱼叉式网络钓鱼活动的一部分。但赛门铁克表示,Graphiron 旨在泄露更多数据,包括屏幕截图和 SSH 私钥。
“从情报的角度来看,这些信息本身可能很有用,或者它可以用来更深入地渗透到目标组织或发动破坏性攻击,”赛门铁克威胁猎人团队首席情报分析师迪克奥布莱恩告诉 TechCrunch。
奥布莱恩表示,虽然对黑客团队的起源或策略知之甚少,但 TA471 已成为俄罗斯正在进行的针对乌克兰的网络攻击活动的主要参与者之一。
TA471 最新间谍活动的消息是在乌克兰政府对另一个俄罗斯国家资助的黑客组织 UAC-0010发出警报后几天发布的,该组织继续对乌克兰组织进行频繁的网络攻击活动。
乌克兰国家网络保护中心表示:“尽管主要使用重复的技术和程序集,但对手会缓慢但持续地改进他们的策略并重新开发使用过的恶意软件变体以保持不被发现。” “因此,它仍然是我国组织面临的主要网络威胁之一。”
俄罗斯“WhisperGate”黑客正在使用新的数据窃取恶意软件瞄准乌克兰作者: Carly Page ,最初发表于TechCrunch
原文: https://techcrunch.com/2023/02/08/whispergate-hackers-data-stealing-malware-ukraine/