俄罗斯黑客攻击乌克兰关键基础设施

重要信息摘要

• 攻击对象 ：近20个乌克兰的水、能源及供暖服务提供商。
• 攻击者 ：俄国国家支持的高级持续威胁组织Sandworm（APT44）。
• 手段 ：利用多重供应链攻击和特定恶意软件。
• 影响 ：旨在增加俄国导弹攻击的影响力。

根据乌克兰计算机应急响应小组(CERT- UA)的报告，上个月近20家乌克兰的水、能源和供暖服务提供商的信息和通讯系统遭到俄国国家支持的高级持续威胁组织Sandworm的攻击。该组织还被称为APT44、VoodooBear、BlackEnergy和Seashell Blizzard。这些攻击涉及三个或更多的供应链被入侵，从而使得武器化软件的部署得以实现。

CERT-UA指出，攻击目标的网络安全防御薄弱，使得入侵行为变得相对容易。这些入侵行为被认为是旨在最大化俄国导弹攻击的影响力。

在这次攻击中，Sandworm还被观察到利用QUEUESEED恶意软件，也被称为Kapeka或IcyWell，用于系统信息收集和远程命令执行。此外，该组织使用了新版本的Linux后门，包括BIASBOAT和LOADGRIP，还有基于Go的GOSSIPFLOW恶意软件。针对乌克兰关键基础设施的入侵行为还涉及使用Weevly网页壳、Pitvotnacci、Regeorg.Neo和Chisel隧道器，以及JuicyPotatoNG、LibProcessHider和RottenPotatoNG等工具，用以实现持久性和特权提升。

相关链接