谷歌公司警告說，在俄羅斯針對烏克蘭進行地面戰爭的同時，隸屬于或支持弗拉基米爾-普京政府的高級持續性威脅(APT)組織正在網絡空間內加強對烏克蘭和歐洲組織的網絡釣魚和其他攻擊。

谷歌TAG軟件工程總監Shane Huntley在周一發表的一篇博文中寫道，谷歌威脅分析小組(TAG)的研究人員發現，被稱為FancyBear/APT28和Ghostwriter/UNC1151的威脅組織進行的間諜活動和網絡釣魚活動都有所增加。其中前者被認為是俄羅斯的GRU情報機構，而后者是烏克蘭曾報道過的白俄羅斯國防部的一個攻擊者。

同時，據Google TAG稱，最近出現了一系列的針對烏克蘭政府網站的分布式拒絕服務(DDoS)攻擊，其中被攻擊的目標包括了外交部和內政部，以及幫助烏克蘭人尋找幫助的政府服務，如Liveuamap。

最近"Mustang Panda"黑客組織也加入了戰局，在最近的一次網絡釣魚活動中，利用烏克蘭的戰爭局勢作為誘餌攻擊歐洲的相關機構。

Huntley在帖子中寫道，我們分享這些信息是為了幫助提高社區的安全意識和用戶的風險意識。

釣魚網站的流行

Fancy Bear是對2020年東京奧運會以及歐盟選舉進行攻擊的APT組織，最近一直在針對ukr.net(由烏克蘭媒體公司URKNet建立的網站)的用戶進行了幾個大型的憑證釣魚攻擊活動。

根據該帖子，這些釣魚郵件是從大量的被攻擊的賬戶(非Gmail/Google)中發出的，其中還包括了由攻擊者所控制的域鏈接。

在最近的兩個攻擊活動中，TAG看到攻擊者使用了新創建的Blogspot域名作為了用戶的初始登陸頁面，然后將目標重定向到了證書釣魚頁面。Huntley補充說，目前，所有已知的由攻擊者所控制的Blogspot域名都已被刪除。

同時，根據Google TAG，Ghostwriter在過去的一周對波蘭、烏克蘭政府以及軍事組織進行了類似的網絡釣魚活動。該組織還一直針對該地區的以下供應商的網絡郵件用戶進行了攻擊。

• i.ua。
• meta.ua。
• ranbler.ru。
• ukr.net。
• wp.pl。
• yandex.ru。

根據該帖子，谷歌TAG阻止了研究人員在攻擊活動期間通過谷歌安全瀏覽所觀察到的一些憑證式網絡釣魚域。這些域名包括：accounts[.]secure-ua[.]website, i[.]ua-passport[.]top, login[.]creditals-email[.]space, post[.]mil-gov[.]space and verify[.]rambler-profile[.]site。

充分利用當前的沖突局勢進行釣魚攻擊

Mustang Panda組織(又名Temp.Hex、HoneyMyte、TA416或RedDelta)也不甘示弱，正在利用與烏克蘭沖突有關的網絡釣魚誘餌來攻擊歐洲組織。

Huntley在帖子中解釋說，TAG發現了一個文件名為'歐盟與烏克蘭邊境局勢.zip'的惡意附件，其中包含了一個同名的可執行文件，這是一個惡意文件下載器。當該文件執行時，該文件會下載幾個其他的文件，然后安裝惡意有效載荷。

Huntley指出，一些APT組織對歐洲發動攻擊，這其實可以看出該威脅攻擊者的攻擊策略發生了轉變。他們通常情況下是以東南亞的實體為目標。但Mustang Panda之前就一直活躍在針對歐盟實體的攻擊中，其中最引人注目的是在2020年9月以羅馬的梵蒂岡和天主教會相關組織為目標的魚叉式釣魚活動。

Huntley指出，為了減緩APT組織的最新網絡攻擊，TAG目前已經向有關當局通報了其發現的信息。

擴大DdoS的保護范圍

隨著APTs加強了針對烏克蘭目標的網絡釣魚攻擊力度，該國的關鍵政府網站以及服務型網站也會面臨著新一輪的DDoS攻擊。

Huntley寫道，由于這些攻擊可能會繼續下去，谷歌目前已經擴大了Project Shield的資格，該公司的免費的DDoS攻擊保護為包括烏克蘭政府網站、世界各地的大使館和其他與沖突關系密切的政府網站、以及眾多新聞機構在內的150多個機構，提供了這項服務。

該帖子稱，Project Shield允許谷歌緩解DDoS攻擊中的惡意流量，這樣目標組織就可以繼續運營并抵御這些攻擊。Huntley寫道，在DDoS攻擊活動增加的情況下，該公司正建議符合條件的組織注冊Project Shield。

本文翻譯自：https://threatpost.com/russian-apts-phishing-ukraine-google/178819/如若轉載，請注明原文地址。