按 Enter 到主內容區
:::

TWCERT-電子報

:::

烏克蘭政府單位遭駭侵者以假冒 Windows Update 指南發動攻擊

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2023-06-02
  • 點閱次數:384
烏克蘭政府單位遭駭侵者以假冒 Windows Update 指南發動攻擊 twcertcc

烏克蘭電腦緊急應變團隊(Computer Emergency Response Team of Ukraine,CERT-UA)指出,APT 28 (又名 Fancy Bear)駭侵團體近日以偽造的 Windows Update 資安更新指南惡意郵件,大規模攻擊烏克蘭政府各單位。

CERT-UA 指出,APT 28 的駭侵者,以真實人名加上「@outlook.com」結尾的 email 信箱,偽裝為系統管理員,向烏克蘭多個攻擊目標的政府實體人員發送假冒的 Windows Update 更新指南,以魚目混珠的方式來欺騙攻擊對象,使其誤信而感染惡意軟體。

在這些偽造的升級指南中,沒有採取一般常用的方式,亦即透過 Windows 系統內建的升級機制,而是要求使用者執行某些 PowerShell 指令;一但受害者照做,該指令就會下載一個攻擊用的 PowerShell 指令檔,一邊模擬出一個偽造的 Windows Update 更新進度視窗,一邊下載另一個含有惡意指令的 PowerShell 指令檔,使 APT 28 駭侵者得以透過 Mocky service API 竊取受害電腦系統中的機敏資訊。

CERT-UA 建議烏克蘭各政府系統管理者,應加強限制關鍵設備與伺服器主機執行 PowerShell 指令,並強化對於 Mocky API 的監控,以避免機敏資訊遭竊。

另一方面,根據 Google Threat Analysis Group 先前的報告,在 2023 年第一季所有針對鳥克蘭發動的攻擊用釣魚郵件中,有 60% 以上來自俄羅斯駭侵團體,而 APT 28 更是其中一大來源。

建議機敏關鍵設備與伺服器的系統管理者,應對 PowerShell 指令的執行加以嚴格限制,並且隨時監控系統各項連外 API 的使用情形,以避免遭到駭侵者竊取資料。

回頁首