俄罗斯与白俄罗斯遭受的网络攻击分析
关键要点
“头马”Head Mare黑客行动自去年以来对俄罗斯和白俄罗斯的制造、政府、运输、环境及能源机构进行了网络钓鱼攻击。攻击者利用了VMware 的漏洞CVE202338831获取初始网络访问权限。攻击手法包括部署 PhantomDL 和 PhantomCore 后门,使用开源指挥控制框架 Sliver 以及工具 Mimikatz、ngrok 和 rsockstun 进行凭证收集。最终,攻击者针对 Windows 和 Linux 系统分别发起 LockBit 和 Babuk 勒索软件攻击,显示出与其他针对俄罗斯和白俄罗斯组织的攻击团体相似的策略和手法。自去年以来,黑客组织“头马”针对俄罗斯和白俄罗斯的多个行业进行了网络钓鱼攻击,此事件引起了广泛关注。根据The Hacker News的报道,这些攻击主要涉及制造、政府、交通、环境和能源等领域。
根据卡巴斯基的分析,攻击者首先通过利用VMware漏洞CVE202338831获得初步网络接入。随即,“头马”组织开始部署 PhantomDL 和 PhantomCore 后门,以便进一步传送恶意载荷。此外,攻击者还设置了调度任务和注册表值,以掩盖恶意活动。在此过程中,他们借助开源指挥控制框架 Sliver 和工具 Mimikatz、ngrok 及 rsockstun 进行凭证收集、横向移动和网络发现,最终针对 Windows 和 Linux 系统启动了 LockBit 和 Babuk 勒索软件。
卡巴斯基的研究人员指出:“头马组织所使用的战术、方法、程序和工具通常与其他针对俄罗斯和白俄罗斯组织的攻击团体相似,这些攻击发生在俄乌冲突的背景下。”这些发现突显了网络安全的复杂性和针对特定地域的攻击模式,引发了对网络防御及其防护措施的深入探讨。
蚂蚁加速加速器官网
