駭侵者利用植入木馬的Windows 10安裝程式,駭入烏克蘭政府所屬網路

資安廠商 Mandiant 日前發表研究報告,指出該公司發現有駭侵團體透過植入惡意軟體的 Windows 10 安裝 ISO 檔,攻擊烏克蘭政府所屬單位,入侵其內部網路系統。

據 Mandiant 的報告指出,這波攻擊係透過 P2P 檔案分享網路 BitTorrent 的網站進行;駭侵者將木馬惡意軟體植入 Windows 10 安裝光碟映像檔,藉以發動供應鏈攻擊。

Mandiant 將這波攻擊行動代號命名為「UNC4166」。該公司在分析烏克蘭政府受到攻擊的部分單位內網時,發現被植入的木馬主要以竊取機密資訊為主,傳送到駭侵者控制伺服器的貟訊,並未含有可用以竊取財物的資訊,也不含任何勒贖工具或加密貨幣挖礦程式。

Mandiant 說,駭侵者在初步入侵受害系統後,隨即進一步布署多種惡意後門 Stowaway、Beacon、Sparepart 等,以便讓駭侵者控制受駭系統、執行指令與程式碼、傳送檔案、竊取資訊如登入帳密和鍵盤輸入等。

Mandiant 也發現一些在 2022 年 7 月預先排程好的工作,以便透過 PowerShell 取得駭侵者下達的進一步攻擊指令。

Mandiant 在報告中指出,這次烏克蘭政府受到攻擊的單位,過去也曾遭到 APT 駭侵團體 APT28 的攻擊。

建議擁有機敏資訊的各公私單位或個人,在安裝軟體時務必循正規管道,使用經驗證安全性可靠的正版軟體,切勿透過 P2P 或社群平台連結安裝來路不明的盜版軟體或所謂破解工具、註冊機,以免遭到植入惡意軟體。

  • 參考連結

Trojanized Windows 10 Operating System Installers Targeted Ukrainian Government

https://www.mandiant.com/resources/blog/trojanized-windows-installers-ukrainian-government

Ukrainian govt networks breached via trojanized Windows 10 installers

https://www.bleepingcomputer.com/news/security/ukrainian-govt-networks-breached-via-trojanized-windows-10-installers/

arrow
arrow
    文章標籤
    TWCERTCC TWCERT 台灣電腦網路危機處理暨協調中心 UNC4166 木馬 惡意軟體 Windows 10
    全站熱搜

    twcert 發表在 痞客邦 留言(0) 人氣()

    E-mail轉寄