烏克蘭政府單位遭駭侵者以假冒 Windows Update 指南發動攻擊－台灣電腦網路危機處理暨協調中心-TWCERT/CC

烏克蘭電腦緊急應變團隊（Computer Emergency Response Team of Ukraine，CERT-UA）指出，APT 28 （又名 Fancy Bear）駭侵團體近日以偽造的 Windows Update 資安更新指南惡意郵件，大規模攻擊烏克蘭政府各單位。

CERT-UA 指出，APT 28 的駭侵者，以真實人名加上「@outlook.com」結尾的 email 信箱，偽裝為系統管理員，向烏克蘭多個攻擊目標的政府實體人員發送假冒的 Windows Update 更新指南，以魚目混珠的方式來欺騙攻擊對象，使其誤信而感染惡意軟體。

在這些偽造的升級指南中，沒有採取一般常用的方式，亦即透過 Windows 系統內建的升級機制，而是要求使用者執行某些 PowerShell 指令；一但受害者照做，該指令就會下載一個攻擊用的 PowerShell 指令檔，一邊模擬出一個偽造的 Windows Update 更新進度視窗，一邊下載另一個含有惡意指令的 PowerShell 指令檔，使 APT 28 駭侵者得以透過 Mocky service API 竊取受害電腦系統中的機敏資訊。

CERT-UA 建議烏克蘭各政府系統管理者，應加強限制關鍵設備與伺服器主機執行 PowerShell 指令，並強化對於 Mocky API 的監控，以避免機敏資訊遭竊。

另一方面，根據 Google Threat Analysis Group 先前的報告，在 2023 年第一季所有針對鳥克蘭發動的攻擊用釣魚郵件中，有 60% 以上來自俄羅斯駭侵團體，而 APT 28 更是其中一大來源。

建議機敏關鍵設備與伺服器的系統管理者，應對 PowerShell 指令的執行加以嚴格限制，並且隨時監控系統各項連外 API 的使用情形，以避免遭到駭侵者竊取資料。