因安裝木馬化的Win10應用程序，烏克蘭政府網絡被攻破

烏克蘭政府實體在其網絡安裝了帶有木馬ISO文件的Windows 10程序后，遭到了有針對性的黑客攻擊。這些惡意安裝程序所加載的惡意軟件能夠從被攻擊的計算機中收集數據，部署額外的惡意工具，并將竊取的數據滲透到攻擊者控制的服務器。

在這次活動中推送的ISO文件中有一個是由2022年5月創建的托管在toloka[.]to烏克蘭洪流跟蹤器上。

網絡安全公司Mandiant說：ISO被配置為禁用Windows計算機將發送至微軟的典型安全遙測，可以阻止自動更新和許可證驗證。此次的攻擊活動，無論是從通過竊取可賺錢的信息還是部署勒索軟件或加密軟件，都沒有跡象表明入侵的經濟動機。

在分析烏克蘭政府網絡上的幾個受感染的設備時，Mandiant還發現了2022年7月中旬設置的預定任務，旨在接收將通過PowerShell執行的命令。

在最初的偵察之后，攻擊者還部署了Stowaway、Beacon和Sparepart后門，使他們能夠保持對被攻擊的計算機的訪問，執行命令，傳輸文件，并竊取信息，包括證書和擊鍵。

木馬化的Windows 10 ISO是通過烏克蘭語和俄語的torrent文件共享平臺分發的，與網絡間諜組織在其基礎設施上托管有效載荷的類似攻擊不同。雖然這些惡意的Windows 10安裝程序不是專門針對烏克蘭政府的，但攻擊者分析了受感染的設備，并對那些被確定為屬于政府實體的設備進行了進一步的、更集中的攻擊。

攻擊者身份有跡可循

這次供應鏈攻擊背后的組織被追蹤為UNC4166，其目標可能是收集和竊取烏克蘭政府網絡的敏感信息。

雖然目前還沒有明確的歸屬，但Mandiant的安全研究人員發現，在這次活動中被攻擊的組織以前是與俄羅斯軍事情報有聯系的APT28國家黑客的目標名單上的。

UNC4166的目標與戰爭開始時GRU相關集群用擦拭器攻擊的組織重合。UNC4166進行后續互動的組織包括歷史上遭受破壞性刮刀攻擊的組織，自入侵爆發以來，我們與APT28有關。

APT28至少從2004年開始代表俄羅斯總參謀部主要情報局（GRU）開展活動，并與針對世界各地政府的活動有關，包括2015年對德國聯邦議會的黑客攻擊和2016年對民主黨國會競選委員會（DCCC）和民主黨全國委員會（DNC）的攻擊。

自從俄羅斯開始入侵烏克蘭以來，多個針對烏克蘭政府和軍事組織的網絡釣魚活動被谷歌、微軟和烏克蘭的CERT標記為APT28行動。

Mandiant補充說：使用木馬化的ISO在間諜行動中是新穎的，包括反偵測能力，表明這一活動背后的組織者有安全意識和耐心，因為該行動需要大量的時間和資源來開發和等待ISO安裝在受關注的網絡上。