烏克蘭政府實(shí)體在其網(wǎng)絡(luò)安裝了帶有木馬ISO文件的Windows 10程序后，遭到了有針對(duì)性的黑客攻擊。

這些惡意安裝程序所加載的惡意軟件能夠從被攻擊的計(jì)算機(jī)中收集數(shù)據(jù)，部署額外的惡意工具，并將竊取的數(shù)據(jù)滲透到攻擊者控制的服務(wù)器。

在這次活動(dòng)中推送的ISO文件中有一個(gè)是由2022年5月創(chuàng)建的托管在toloka[.]to烏克蘭洪流跟蹤器上。

網(wǎng)絡(luò)安全公司Mandiant說：ISO被配置為禁用Windows計(jì)算機(jī)將發(fā)送至微軟的典型安全遙測(cè)，并阻止自動(dòng)更新和許可證驗(yàn)證。此次的攻擊活動(dòng)，無論是從通過竊取可賺錢的信息還是部署勒索軟件或加密軟件，都沒有跡象表明入侵的經(jīng)濟(jì)動(dòng)機(jī)。

在分析烏克蘭政府網(wǎng)絡(luò)上的幾個(gè)受感染的設(shè)備時(shí)，Mandiant還發(fā)現(xiàn)了2022年7月中旬設(shè)置的預(yù)定任務(wù)，旨在接收將通過PowerShell執(zhí)行的命令。

在最初的偵察之后，攻擊者還部署了Stowaway、Beacon和Sparepart后門，使他們能夠保持對(duì)被攻擊的計(jì)算機(jī)的訪問，執(zhí)行命令，傳輸文件，并竊取信息，包括證書和擊鍵。

木馬化的Windows 10 ISO是通過烏克蘭語和俄語的torrent文件共享平臺(tái)分發(fā)的，與網(wǎng)絡(luò)間諜組織在其基礎(chǔ)設(shè)施上托管有效載荷的類似攻擊不同。雖然這些惡意的Windows 10安裝程序不是專門針對(duì)烏克蘭政府的，但攻擊者分析了受感染的設(shè)備，并對(duì)那些被確定為屬于政府實(shí)體的設(shè)備進(jìn)行了進(jìn)一步的、更集中的攻擊。

攻擊者身份有跡可循

這次供應(yīng)鏈攻擊背后的組織被追蹤為UNC4166，其目標(biāo)可能是收集和竊取烏克蘭政府網(wǎng)絡(luò)的敏感信息。

雖然目前還沒有明確的歸屬，但Mandiant的安全研究人員發(fā)現(xiàn)，在這次活動(dòng)中被攻擊的組織以前是與俄羅斯軍事情報(bào)有聯(lián)系的APT28國(guó)家黑客的目標(biāo)名單上的。

UNC4166的目標(biāo)與戰(zhàn)爭(zhēng)開始時(shí)GRU相關(guān)集群用擦拭器攻擊的組織重合。

UNC4166進(jìn)行后續(xù)互動(dòng)的組織包括歷史上遭受破壞性刮刀攻擊的組織，自入侵爆發(fā)以來，我們與APT28有關(guān)。

APT28至少從2004年開始代表俄羅斯總參謀部主要情報(bào)局（GRU）開展活動(dòng)，并與針對(duì)世界各地政府的活動(dòng)有關(guān)，包括2015年對(duì)德國(guó)聯(lián)邦議會(huì)的黑客攻擊和2016年對(duì)民主黨國(guó)會(huì)競(jìng)選委員會(huì)（DCCC）和民主黨全國(guó)委員會(huì)（DNC）的攻擊。

自從俄羅斯開始入侵烏克蘭以來，多個(gè)針對(duì)烏克蘭政府和軍事組織的網(wǎng)絡(luò)釣魚活動(dòng)被谷歌、微軟和烏克蘭的CERT標(biāo)記為APT28行動(dòng)。

Mandiant補(bǔ)充說：使用木馬化的ISO在間諜行動(dòng)中是新穎的，包括反偵測(cè)能力，表明這一活動(dòng)背后的組織者有安全意識(shí)和耐心，因?yàn)樵撔袆?dòng)需要大量的時(shí)間和資源來開發(fā)和等待ISO安裝在受關(guān)注的網(wǎng)絡(luò)上。

參考來源：https://www.bleepingcomputer.com/news/security/ukrainian-govt-networks-breached-via-trojanized-windows-10-installers/