安全研究人員說,他們最近觀察到一個俄羅斯黑客團隊,他們是破壞性的WhisperGate惡意軟件網絡攻擊的幕後黑手,以一種新的信息竊取惡意軟件為手段攻擊烏克蘭實體。
賽門鐵克的威脅獵手團隊將這一活動歸因於一個與俄羅斯有關的網絡威脅行為者,它之前被稱為TA471(或UAC-0056),自2021年初以來一直活躍,該組織支持俄羅斯政府的利益,雖然它主要針對烏克蘭,但該組織也一直活躍在北美和歐洲的北約成員國。
TA471與WhisperGate有關,這是一種破壞性的數據清除惡意軟件,在2022年1月針對烏克蘭目標的多個網絡攻擊中使用。該惡意軟件偽裝成勒索軟件,但使目標設備完全無法操作,即使支付贖金要求也無法恢復文件。
據賽門鐵克稱,該黑客組織的最新活動依靠以前未曾見過的信息竊取惡意軟件,這被稱之為"Graphiron",特別用於針對烏克蘭組織。據研究人員稱,該惡意軟件被用來從2022年10月至至少2023年1月中旬的受感染機器中竊取數據,有理由認為它仍然是[黑客]工具包的一部分。"
這種竊取信息的惡意軟件使用的文件名旨在偽裝成合法的微軟Office文件,與其他TA471工具類似,如GraphSteel和GrimPlant,它們之前被用作專門針對烏克蘭國傢機構的魚叉式釣魚活動的一部分。但賽門鐵克表示,Graphiron旨在滲出更多數據,包括屏幕截圖和私人SSH密鑰。
賽門鐵克威脅獵手團隊首席情報分析師迪克-奧佈萊恩(Dick O'Brien)表示:"從情報角度來看,這些信息本身可能是有用的,或者可以用來深入目標組織或發起破壞性攻擊。雖然對這個黑客組織的來源或戰略知之甚少,但TA471已經成為俄羅斯對烏克蘭持續進行的網絡活動中的關鍵角色之一。"
TA471的最新間諜活動的消息是在烏克蘭政府對另一個俄羅斯國傢支持的黑客組織(被稱為UAC-0010)敲響警鐘後的幾天,該組織繼續對烏克蘭組織進行頻繁的網絡攻擊活動。
烏克蘭國傢網絡保護中心說:"盡管主要使用重復的技術和程序,但對手緩慢但堅持地發展他們的戰術,重新開發使用的惡意軟件變體,以保持不被發現。因此,它仍然是我們國傢的組織所面臨的關鍵網絡威脅之一"。