人道主義作者Andreas Harsono總結(jié)說(shuō)，當(dāng)坦克開(kāi)進(jìn)烏克蘭時(shí)，惡意軟件也開(kāi)始對(duì)烏克蘭進(jìn)行了攻擊。

周一，該公司報(bào)告說(shuō)，其威脅情報(bào)中心(MSTIC)在俄羅斯的坦克和導(dǎo)彈開(kāi)始襲擊烏克蘭的前幾個(gè)小時(shí)，就已經(jīng)檢測(cè)到了針對(duì)該國(guó)數(shù)字基礎(chǔ)設(shè)施發(fā)起的網(wǎng)絡(luò)攻擊。

微軟安全研究人員表示，在2月24日發(fā)射導(dǎo)彈的前幾個(gè)小時(shí)，微軟的威脅情報(bào)中心(MSTIC)就已經(jīng)檢測(cè)到了針對(duì)烏克蘭數(shù)字基礎(chǔ)設(shè)施的新一輪進(jìn)攻性和破壞性的網(wǎng)絡(luò)攻擊。

我們立即向?yàn)蹩颂m政府通報(bào)了這一情況，我們確認(rèn)攻擊者使用了一個(gè)新的惡意軟件包，我們稱之為FoxBlade，并就防止惡意軟件的攻擊提供了技術(shù)性的建議。

史密斯說(shuō)，在發(fā)現(xiàn)FoxBlade的三小時(shí)內(nèi)，為檢測(cè)該病毒，微軟已經(jīng)為其Defender反惡意軟件服務(wù)添加了新的簽名。

FoxBlade攻擊的具體細(xì)節(jié)

微軟目前已經(jīng)發(fā)布了一份關(guān)于FoxBlade的安全情報(bào)公告，報(bào)告稱這是一個(gè)新的特洛伊木馬。

雖然該公司既沒(méi)有分享技術(shù)細(xì)節(jié)，也沒(méi)有分享FoxBlade是如何攻破目標(biāo)機(jī)器的防御系統(tǒng)進(jìn)行攻擊的，但該公告解釋說(shuō)，這個(gè)木馬可以在你不知情的情況下利用你的電腦進(jìn)行分布式拒絕服務(wù)(DDoS)攻擊。

卡巴斯基研究人員在2021年11月報(bào)告說(shuō)，這種攻擊在第三季度中每天達(dá)到了數(shù)千次，而且預(yù)計(jì)該數(shù)字將會(huì)繼續(xù)增長(zhǎng)。

除了發(fā)起DDoS攻擊，F(xiàn)oxBlade還會(huì)下載和安裝其他程序(包括惡意軟件)來(lái)安裝到受感染的系統(tǒng)。

精確的攻擊

史密斯說(shuō)，這些網(wǎng)絡(luò)攻擊截至周一仍然還在進(jìn)行。與NotPetya不分青紅皂白就進(jìn)行攻擊的惡意軟件不同，此次攻擊的策略是進(jìn)行精準(zhǔn)攻擊。NotPetya網(wǎng)絡(luò)攻擊在2017年針對(duì)全球數(shù)百家公司和醫(yī)院，甚至是對(duì)烏克蘭電網(wǎng)都進(jìn)行了攻擊。

2020年，美國(guó)司法部(DOJ)曾經(jīng)指控了六名俄羅斯國(guó)民涉嫌參與烏克蘭以及其他網(wǎng)絡(luò)攻擊。

微軟目前特別關(guān)注針對(duì)烏克蘭民用數(shù)字目標(biāo)的網(wǎng)絡(luò)攻擊，盡管當(dāng)前對(duì)烏克蘭的網(wǎng)絡(luò)攻擊具有很強(qiáng)的針對(duì)性，但是這些攻擊的范圍更廣了，攻擊目標(biāo)包括了金融部門、農(nóng)業(yè)部門、應(yīng)急服務(wù)、人道主義援助工作以及能源部門組織和企業(yè)。

史密斯說(shuō)，根據(jù)《日內(nèi)瓦公約》，這些針對(duì)民用目標(biāo)的攻擊引起了專家們的密切關(guān)注，我們目前已經(jīng)與烏克蘭政府分享了所有的攻擊信息。

微軟還向?yàn)蹩颂m政府提供了最近一系列的關(guān)于防止竊取個(gè)人身份信息(PII)的網(wǎng)絡(luò)釣魚攻擊的建議，這些PII中還包括了與健康、保險(xiǎn)、交通和其他政府?dāng)?shù)據(jù)有關(guān)的PII。

微軟還向?yàn)蹩颂m政府傳遞了威脅情報(bào)以及防御策略，使其能夠更好地防御針對(duì)軍事機(jī)構(gòu)和制造商以及其他幾個(gè)烏克蘭政府機(jī)構(gòu)的攻擊。

持續(xù)進(jìn)行的網(wǎng)絡(luò)戰(zhàn)爭(zhēng)

微軟發(fā)布的FoxBlade的消息只是針對(duì)烏克蘭和俄羅斯的持續(xù)網(wǎng)絡(luò)攻擊中的一個(gè)，Conti勒索軟件團(tuán)伙還宣稱它其實(shí)是親俄的。上周，這些犯罪分子在他們的博客上發(fā)出了警告，威脅要盡最大的可能來(lái)報(bào)復(fù)那些”試圖針對(duì)俄羅斯或世界上任何講俄語(yǔ)地區(qū)的關(guān)鍵基礎(chǔ)設(shè)施”進(jìn)行攻擊的戰(zhàn)爭(zhēng)販子。

一名親烏克蘭的Conti勒索軟件團(tuán)伙成員隨后泄露出了該勒索軟件團(tuán)伙最近13個(gè)月的聊天記錄，并承諾還將有更多信息要曝光。

同樣，ESET和博通公司的賽門鐵克上周表示，他們發(fā)現(xiàn)了一種被稱為HermeticWiper的新的數(shù)據(jù)擦除惡意軟件，該軟件已經(jīng)被用于攻擊烏克蘭的數(shù)百臺(tái)機(jī)器。其中一個(gè)惡意軟件的樣本早在12月28日就被編制出來(lái)了，這表明攻擊在兩個(gè)月前就已經(jīng)準(zhǔn)備好了。

然后，在1月13日，一個(gè)名為WhisperGate的破壞性惡意軟件開(kāi)始針對(duì)烏克蘭組織進(jìn)行攻擊。分析家們說(shuō)，這種攻擊可能是俄羅斯破壞烏克蘭主權(quán)的攻擊中的一部分。

此外，在2月中旬，烏克蘭軍事和經(jīng)濟(jì)的重要機(jī)構(gòu)，包括政府以及銀行網(wǎng)站，都遭到了一波DDoS攻擊。

CISA的建議

美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)上周警告說(shuō)，這種攻擊可能會(huì)蔓延到烏克蘭的邊境。

CISA說(shuō)，破壞性的惡意軟件可以對(duì)一個(gè)組織的日常運(yùn)作構(gòu)成直接的威脅，影響到其中關(guān)鍵資產(chǎn)的安全性以及數(shù)據(jù)的可用性。針對(duì)烏克蘭組織的更進(jìn)一步的破壞性網(wǎng)絡(luò)攻擊可能會(huì)發(fā)生，并可能會(huì)蔓延到其他國(guó)家的組織。

與烏克蘭/俄羅斯危機(jī)有關(guān)的其他威脅攻擊還包括大量的網(wǎng)絡(luò)犯罪威脅者，他們利用當(dāng)天的頭條新聞，對(duì)用戶進(jìn)行釣魚攻擊。Malwarebytes還發(fā)現(xiàn)了大量主題為"微軟賬戶異常登錄活動(dòng) "的惡意郵件。

為防止這種廣泛的網(wǎng)絡(luò)威脅，CISA提供了這份網(wǎng)絡(luò)安全自查清單。

• 修補(bǔ)漏洞。
• 使用MFA。
• 使用防病毒軟件。
• 啟用強(qiáng)大的垃圾郵件過(guò)濾器，防止終端用戶收到網(wǎng)絡(luò)釣魚郵件。
• 禁用非必要的端口和協(xié)議。
• 加強(qiáng)對(duì)云服務(wù)的控制以及使用。

本文翻譯自：https://threatpost.com/microsoft-ukraine-foxblade-trojan-hours-before-russian-invasion/178702/如若轉(zhuǎn)載，請(qǐng)注明原文地址。