根據一份最新的報告，網絡攻擊者利用了一個被攻擊的烏克蘭軍方的電子郵箱，對管理逃離烏克蘭的難民工作的歐盟政府雇員進行了網絡釣魚攻擊。

在最近的幾周和幾個月，烏克蘭一直處于前所未有的網絡攻擊旋渦之中，從針對組織和公民發動的分布式拒絕服務(DDoS)攻擊到針對國家基礎設施的網絡攻擊等等。這一次，攻擊者盯上了歐盟的工作人員，利用俄羅斯入侵烏克蘭的重大新聞，引誘目標打開含有微軟Excel文件的電子郵件，其中包含了惡意軟件。

研究人員認為這一網絡釣魚攻擊是TA445(又名UNC1151或Ghostwriter)組織進行的。TA445以前曾與白俄羅斯政府有過聯系。

此次攻擊與俄羅斯的入侵同時發生

2月23日星期三，北約就俄羅斯即將入侵烏克蘭的問題召開了一次緊急會議。

第二天，俄羅斯入侵烏克蘭，研究人員發現有一封可疑的電子郵件一直在流傳。郵件主題是"根據2022年2月24日烏克蘭安全委員會緊急會議的決定"。它包含了一個具有宏功能的Excel(.xls)電子表格，其標題為 "人員名單.xlsx"，文件打開后會運行一個名為SunSeed的惡意軟件。

這封電子郵件是來自地址為ukr.net的網站，這是一個烏克蘭的軍事電子郵件地址。奇怪的是，研究人員追蹤發現該地址與一份公開的斯蒂爾品牌割草機的采購文件有關，該文件是在2016年發布的，并且該訂單是由 "В?йськова частина А2622 "發出，這是一個設在烏克蘭切爾尼戈夫的軍事單位。攻擊者究竟是如何獲得該軍事電子郵件地址的，目前還不清楚。

這個釣魚網站是針對那些參與管理烏克蘭難民外流的歐洲政府人員進行攻擊的。這些被攻擊的人員有很明確的職責劃分，報告指出，犯罪分子明顯更傾向于針對負責運輸、財務、預算分配、行政管理以及歐洲境內人口流動的工作人員進行攻擊。

報告稱，針對這些工作人員進行攻擊的目的是要獲得有關北約成員國的內部資金、物資以及人員流動的相關情報。

攻擊者與白俄羅斯有聯系

報告指出，目前還沒有確切的證據可以明確地將這次攻擊活動與某個特定的威脅攻擊者聯系起來。不過，研究人員還是注意到這次網絡釣魚活動與去年7月份針對美國網絡安全和國防公司的另一次攻擊活動有很多的相似之處。

據Proofpoint研究人員稱，7月份的攻擊活動也是利用了帶宏的XLS附件來安裝Lua惡意軟件，Lua是惡意軟件SunSeed使用的編程語言。他們還補充說，該活動利用了一份最近的政府報告作為了進行社會工程學攻擊的誘餌。

該活動中所使用的文件名--"簡報參與者名單.xls"，與這次活動中使用的文件名稱有驚人的相似之處。此外，攻擊者使用Lua腳本創建了一個與SunSeed樣本幾乎相同的URI地址，它是由受害者的C盤分區序列號組成的。通過對兩個樣本中的密碼學調用的分析，都使用了相同版本的WiX 3.11.0.1528來創建MSI包。

這些相同的技術使研究人員更有把握地得出結論，這兩個攻擊活動是由同一個威脅行為者--TA445實施的。據Mandiant稱，該組織總部設在明斯克，與白俄羅斯軍方有密切聯系，并為白俄羅斯政府的國家利益開展攻擊業務。同時，白俄羅斯是俄羅斯的一個親密盟友。

研究人員最后發表了一份免責聲明。在戰爭的最開始，同時也包括在網絡空間領域，攻擊者就已經加快了攻擊活動的步伐。

針對烏克蘭的史無前例的攻擊行為

這場網絡釣魚攻擊活動并不是最近幾周才出現的，最近幾天網絡犯罪分子不斷向烏克蘭國家發動網絡攻擊。但是，研究人員指出，雖然這次攻擊活動中所使用的技術不是單獨針對特定個人的攻擊技術，但是如果進行集體部署、并進行高強度的網絡攻擊，那么它們就會擁有更強大的攻擊能力。

comforte AG的安全研究人員通過電子郵件告訴媒體，從這次攻擊可以看出威脅者在使用社會工程學戰術方面是多么的無情和聰明。

他補充說，這種情況突出了每個企業都應該注意的兩個關鍵點。第一，僅僅零星地對員工進行有關常見的社會工程戰術的教育是遠遠不夠的。公司需要讓員工以懷疑的態度對待每封電子郵件。第二，即使你覺得你所儲存的核心數據資產是萬無一失的，也要保護好所有企業的數據，而不僅僅是在周邊的安全上。

本文翻譯自：https://threatpost.com/phishing-campaign-targeted-those-aiding-ukraine-refugees/178752/如若轉載，請注明原文地址。