破解谷歌密碼知名威脅分析小組的安全研究人員與 Mandiant 的威脅情報專家確認,疑似俄羅斯間諜活動和影響力攻擊正在針對 Android 和 Windows 用戶發動。以下是我們目前掌握的資訊。
關於 UNC5812 網路攻擊的了解
UNC5812 網路攻擊於 2024 年 9 月被 Google TAG 和 Mandiant 發現,似乎是俄羅斯威脅行為者實施的混合間諜和影響行動。威脅情報分析人員表示,該活動使用名為「民防」的 Telegram 帳號,以免費軟體供應商的名義向 Android 和 Windows 用戶分發惡意軟體。該免費軟體的本質是直接針對那些想在烏克蘭尋找潛在徵兵人員的人。分發管道包括惡意民防 Telegram 頻道和一個名稱相似的網站。據信,9 月 Telegram 頻道的啟動標誌著該行動的正式啟動,而該網站的網域早在 4 月初就已註冊。
《富比士》
新的網路攻擊警告-確認你不是機器人可能會很危險
作者:戴維溫德
該惡意軟體本身特定於操作系統,並與一個看似誘餌的應用程式一起投放,該應用程式偽裝成上述招募地點的地圖工具。 「UNC5812 也積極參與影響力活動,」Google TAG 發言人表示,「發表言論並徵求內容,旨在破壞對烏克蘭動員工作的支持。」據認為,UNC5812 威脅行為者正在合法且已建立的烏克蘭語 Telegram 頻道中購買推廣帖子,以進一步傳播影響力行動。破解谷歌密碼根據威脅情報,該行動似乎仍在進行中,因為就在 10 月 8 日,還有一個烏克蘭語新聞頻道在推廣這些貼文。 「該活動可能仍在積極尋找新的烏克蘭語社區進行有針對性的接觸,」Google TAG 研究人員表示。
福布斯顧問的更多內容
2024年最佳高收益儲蓄帳戶圖表
2024年最佳高收益儲蓄帳戶
作者:Kevin Payne
2024年最佳5%利率儲蓄帳戶圖表
2024年最佳5%利率儲蓄帳戶
作者:Cassidy Horton
網路攻擊背後的威脅者被命名為 APT29,又名午夜暴雪
亞馬遜將 UNC5812 網路攻擊背後的組織命名為 APT29,這是一個由俄羅斯政府支持的威脅行為者,也非正式名稱為Midnight Blizzard或 Cozy Bear,該公司已確認其在幕後工作以奪取此次活動中使用的域名。 CJ Moses 曾任聯邦調查局網路部門電腦和網路入侵技術分析主管和空軍特別調查辦公室特工,現任亞馬遜首席資訊安全官。 Moses 在 LinkedIn 上撰文感謝亞馬遜和 CERT-UA 的網路威脅情報團隊為「讓網路更安全」所做的努力。 APT29 不要與 APT28(稱為 Fancy Bear)混淆,APT28 是另一個由俄羅斯政府支持的攻擊組織,目前也參與了針對烏克蘭的網路攻擊活動。
亞馬遜威脅情報團隊在 CERT-UA 已有工作的基礎上,識別出了 Midnight Blizzard 使用的網路網域。 UNC5812 網路釣魚活動的目標對像是與政府機構、企業和軍隊相關的潛在受害者,並使用烏克蘭語電子郵件,亞馬遜表示,此次網路攻擊的範圍比通常的針對性較強的攻擊方式要廣得多。 Moses 表示:“他們使用的一些網域試圖誘騙目標用戶相信這些網域是 AWS 網域(但實際上並非如此),破解谷歌密碼但目標並非亞馬遜,該組織也不是 AWS 客戶憑證的追蹤目標。”
發現這些網域後,亞馬遜立即啟動了查封那些被午夜暴雪威脅行為者濫用的網域的程序,冒充 AWS 來中斷該操作。
象徵
00:00
03:12
閱讀更多
俄羅斯間諜網攻擊的目的
Telegram 發起的攻擊活動本身旨在誘使受害者訪問該網站,該網站提供各種適用於 Android 和 Windows 作業系統的惡意軟體下載。同時,Android 用戶則成為名為 craxstat 的商業後門應用程式的目標。 Google TAG 分析師表示,該網站本身支援 iOS 和macOS 惡意軟體,但在分析過程中,這兩種有效載荷均未出現。
《富比士》
NSA 告知 iPhone 和 Android 用戶:立即重新啟動設備
作者:戴維溫德
那麼,如果您已經成為攻擊目標並進入惡意軟體分發階段,該如何避免捲入這場最新的威脅活動?破解谷歌密碼的TAG研究人員表示,請確保您使用了Google Play Protect。 UNC5812的攻擊者竭盡全力說服Android用戶,他們應該在App Store及其保護措施之外安裝該應用程式,並聲稱需要大量的用戶權限,但諷刺的是,這主要是為了保護用戶的安全和匿名性。
「UNC5812 的民防網站專門包含社會工程學內容和詳細的影片說明,指導目標用戶如何關閉 Google Play Protect,」Google TAG 表示,「安全瀏覽還會在 Android 上的 Chrome 用戶訪問危險網站前向他們發出警告,從而保護他們。」破解谷歌密碼 的應用程式掃描基礎設施可以保護 Google Play,並為 Verify Apps 提供特定網路的用戶所支持。
