其他
更多安全资讯和分析文章请关注启明星辰ADLab微信公众号及官方网站(adlab.venustech.com.cn)一、背景自2022年2月24日俄乌冲突升级为全面战争后,俄罗斯试图通过“闪电战”的战术快速结束战争的目的落空,直到2个多月的今天,此次战争仍处于胶着状态,俄乌双方均遭受到了非常严重的损失和伤亡。在残酷的战争之下,双方仍然不断地在网络战场上进行着激烈的较量。在战争爆发当日,启明星辰ADLab就对双方网络战相关的威胁情报进行了整理,并且对乌克兰背后的网络攻击和相关情报活动进行深入分析,发布了相关分析文章《乌克兰战争背后的网络攻击和情报活动》;在3月份我们应邀撰写了《【网络战】从乌克兰战争谈现代战争的第二战场》的长篇报告,结合历史上的对战争起着关键作用的网络战案例以及乌克兰和俄罗斯之间长达30年的网络对抗案例,全面分析了现代战争下的网络战技术、思想、作用及影响;近期,我们又接连捕获到多起针对乌克兰政府和单位的网络攻击活动,攻击者借以“乌克兰防御方式”、“乌克兰报告_最终”、“日益复杂的俄乌危机解释”和“泄露的克里姆林宫电子邮件显示明斯克协议”等具有高度迷惑性的热点诱饵文档进行攻击,试图窃取相关政府单位的机密信息。本文将对自战争以来我们所监控到的网络攻击事件进行梳理和汇总,同时从多个角度出发,对部分典型的网络攻击事件进行深入剖析。二、近期攻击事件回顾自战争爆发以来,网络空间就成了俄乌双方博弈和交锋的第二战场,根据乌克兰CERT近期发布的消息,乌克兰已经受到了至少12个黑客组织的攻击。在这些攻击中,黑客组织不仅针对乌克兰政府、电信、国防、军队等要重要部门展开网络攻击,甚至还直接对乌克兰能源等基建设施进行了破坏性网络攻击。根据启明星辰ADLab的威胁情报数据及乌克兰CERT-UA的公开报告,我们对自2022年3月以来乌克兰所遭受的部分网络攻击安全事件进行了梳理和汇总,相关网络攻击事件的时间线如下图所示。实际上,这些统计的网络攻击事件仅仅是实际攻击情况的冰山一角;但仍不难看出,战争期间针对乌克兰的网络攻击者众多,其中不乏“InvisiMole”、“Vermin”、“APT-28”等著名黑客组织,相关网络攻击活动亦格外频繁。3月6日,启明星辰ADLab监测到了一批针对乌克兰政府机构的网络攻击活动。在此次攻击活动中,攻击者利用携带恶意宏或漏洞恶意文件作为初始攻击载荷,诱使受害者信任并执行后续的QuasarRAT恶意木马,试图从受害主机中窃取敏感文件。乌克兰CERT也将此次事件的攻击者命名为“UAC-0086”,攻击者使用的部分诱饵文档如下所示。(1)诱饵文档示例一:伪装成ISW(战争研究研究所)机构文件(2)诱饵文档示例二:伪装成“Hunter