|
据EclecticIQ威胁分析师披露,俄罗斯军事网络间谍组织Sandworm正在针对乌克兰的Windows用户,通过恶意的微软密钥管理服务(KMS)激活工具和伪装的Windows更新进行攻击。这些攻击可能始于2023年末,基于重叠的基础设施、一致的战术、技术与程序(TTPs)以及频繁使用的ProtonMail账号注册攻击域名,被EclecticIQ确认为与Sandworm黑客相关。 攻击者还利用BACKORDER加载器部署DarkCrystal RAT(DcRAT)恶意软件(此前Sandworm攻击中也曾使用),并且调试符号引用了俄语构建环境,进一步证实了研究人员对俄罗斯军事黑客参与其中的信心。 EclecticIQ识别出七个与同一恶意活动集群相关的恶意软件分发活动,每个活动都使用类似的诱饵和TTPs。最近一次是在2025年1月12日,分析师观察到攻击者利用拼写错误的域名,通过DcRAT远程访问木马进行数据泄露攻击。 一旦在受害者的设备上部署,假冒的KMS激活工具会显示一个伪造的Windows激活界面,在后台安装恶意软件加载器,并禁用Windows Defender,随后传递最终的RAT负载。 这些攻击的最终目的是从受感染的计算机中收集敏感信息,并将其发送到攻击者控制的服务器。恶意软件会窃取键盘输入、浏览器Cookie、浏览历史记录、保存的凭据、FTP凭据、系统信息和屏幕截图。 Sandworm使用恶意Windows激活工具的动机可能是由于乌克兰广泛使用盗版软件,这为攻击者提供了巨大的攻击面,甚至影响到该国的政府机构。EclecticIQ表示:“许多用户,包括企业和关键实体,都从不可信的来源转向使用盗版软件,这为Sandworm(APT44)等对手提供了将恶意软件嵌入广泛使用程序的绝佳机会。”这种策略使得大规模间谍活动、数据盗窃和网络入侵成为可能,直接威胁到乌克兰的国家安全、关键基础设施和私营部门的韧性。 Sandworm(也被追踪为UAC-0113、APT44和Seashell Blizzard)是一个自2009年以来一直活跃的黑客组织,隶属于俄罗斯军事情报局(GRU)的第74455军事单位,主要针对乌克兰发动破坏性和破坏性攻击。 |
据威胁情报公司 Defused 称,攻击者已开始利用 Oracle E-Business Suite (EBS) 财务应...
Microsoft 将最近导致超过 140 个 npm 软件包受损的 Mastra AI 供应链攻击归因于朝鲜...
Siemens 正在通知客户,其 Desigo CC 楼宇管理系统的补丁文件被多个网络安全解决方案...
九州电力株式会社披露了一起物理安全事件,影响了超过 1000 万客户的隐私数据。 在一...
对 The Gentlemen 行动的一项新分析显示,这个以经济为动机的威胁组织最初是作为附属...
根据网络安全公司 Mandiant 的一份最新报告,Silent Ransom Group 勒索团伙正在积极针...
思科周四向客户通报,其 SD-WAN 产品又发现一个已被在野利用的漏洞——这是 2026 年检...
Meta 表示,在最近一起滥用 AI 驱动的账户恢复支持工具的攻击中,约有 2 万个 Instagr...