譯者:知道創宇404實驗室翻譯組
原文鏈接:https://securelist.com/webinar-on-cyberattacks-in-ukraine-summary-and-qa/106075/

img

關于網絡研討會

2022年3月10日,卡巴斯基的全球研究和分析小組(GReAT)分享了他們對烏克蘭當前(和過往)網絡攻擊的見解。在這篇文章中,我們解決了我們沒有時間回答的問題,并提供了能夠幫助您抵御已識別的威脅的IoCs。你可以在這里觀看網絡研討會的完整錄像: ‘目前烏克蘭的網絡攻擊一覽’

網絡研討會內容包括對烏克蘭遭受攻擊的回顧,以及對烏克蘭當前網絡活動的概述,其中包括已知的 APT 活動、未知派別實施的DDoS 攻擊、利用商業性的rat攻擊、黑客行動主義、網絡罪犯的活動以及不明來源的攻擊。

img

在網絡直播中,我們還分析了卡巴斯基在烏克蘭的蜜罐網絡識別的攻擊,以及對 Gamaredon、 Cyclops Blink、 Hades/Sandworm 和未知組織使用 PandoraBlade 等商品惡意軟件進行的 APT 攻擊的分析。我們還調查了針對烏克蘭組織使用的不同雨刷,包括HermeticWiper、 WhisperGate、 IsaacWiper 和HermeticRansom。我們還報道了在同一時間段內發生的未知和未歸因的攻擊以及黑客活動。

我們估計,在未來六個月內,烏克蘭的網絡攻擊數量將會增加。雖然目前大多數攻擊的復雜性較低,如 DDoS 攻擊或使用在售和低質量工具的攻擊,但也存在更復雜的攻擊,預計還會有更多攻擊。目前復雜的活動包括部署 hermadewiper,它比較成熟也比較高級,以及 Viasat 的“網絡事件”--部分網絡中斷,影響了烏克蘭和歐洲 KA-SAT 網絡其他地方固定寬帶客戶的互聯網服務,影響了歐洲超過30000個終端。

目前,我們評估這場沖突的網絡戰場蔓延到歐洲的風險為中等。

我們建議機構:

  • 針對 DDoS 攻擊、勒索軟件和破壞性惡意軟件、網絡釣魚、定向攻擊、供應鏈攻擊和固件攻擊采取措施
  • 確保任何和所有面向互聯網的系統都安裝了最新的補丁
  • 在端點上安裝安全軟件
  • 建立全面的日志記錄系統,防御者對可疑事件保持警惕
  • 在所有機器上建立嚴格的應用程序白名單
  • 積極搜尋公司內部網絡中的攻擊者

Q&A

由于時間的限制,我們不能在網絡研討會期間解決所有的問題,所以以下是我們在現場會議中收到的其余問題的答案:

問: 使用企業資源發動攻擊的可能性有多大?

答: 根據攻擊的性質,攻擊可能不會區分家庭系統、中小企業系統和企業系統。例如,受感染的物聯網和網絡設備(如 ip 攝像機)可能被任何人使用,并可能被攻擊者感染和濫用,以發動 DDoS 攻擊等攻擊。攻擊者將使用和濫用任何他們需要的資源,以便進行他們的攻擊。如果這包括企業資源,那么它們將不會幸免。

問: 目前我們已經看到在德國地區許多不同的 TOR-exits 服務中出現了大規模連接爆發。這是否能說明威脅情況的”真實”圖景,因為許多攻擊者似乎來自——單就這個實例中——德國,或者是可能來自那些目前非常有興趣對歐洲或烏克蘭造成損害的地區?

答: 當涉及到攻擊的來源時,我們通常會考慮 TOR 和其他匿名服務。由于退出節點上的強制策略,并非所有攻擊(例如對我們的蜜罐基礎設施的攻擊)都很容易通過 TOR 實現。

問: 我想知道,對于針對俄羅斯目標的攻擊,包括來自“黑客行動主義者”和其他人的攻擊,你有什么看法?你能幫助我們區分炒作造謠與真正產生影響的攻擊嗎?

答: 我們已經看到了一些公開的“黑客”聲明。它們中的大多數都沒有足夠的證據來證實真正的黑客行為,我們也沒有能力或資源來驗證它們中的大多數”。最重要的建議是不要盲目地相信所有的信息、報告和聲明——尤其是未經驗證的內容或者來自未經驗證的渠道/賬戶的內容。

問: 我們都知道 REvil 組織的活動和 Kaseya 事件。REvil 成員幾個月前被俄羅斯聯邦安全局逮捕。你認為這些人可能被克里姆林宮“雇傭”來組織對烏克蘭的進攻嗎?或者你認為有可能確定是否有攻擊者是前 REvil 成員?

答: 我們對犯罪分子或其他黑客的受雇傭情況沒有太多深入了解,對任何政府或相關組織的計劃和戰略也沒有太多深入了解。我們的重點僅僅在于技術方面,而這正是我們的專業知識和重點所在。犯罪分子和其他黑客的真實身份是執法部門和相關機構的關注領域。

問: 俄羅斯和烏克蘭之間的這場沖突將如何影響金融業務?防火墻和防病毒工具是否足以抵御來自歐洲的網絡攻擊?

答: 金融交易和其他業務是通過金融機構網絡處理的。它們通常使用許多不同的方法加以保護。攻擊源(即地區或國家)通常不是防御方面的首要問題,而是技術和攻擊目標。根據這一點,防御者應該采用特定的方法和策略來防止攻擊。

問: 你們有關于針對非政府組織的攻擊的最新數據嗎?

答: 一些調查顯示,攻擊目標包括非政府組織——這些可以通過我們的威脅情報報告服務獲得。

下面是從我們在烏克蘭的蜜罐傳感器得到的 IoCs 列表。這些都是被觀察到的,最顯著且相關的攻擊 IP 地址。

IoCs

185[.]252[.]232[.]67(ZoomEye搜索結果
133[.]242[.]129[.]39(ZoomEye搜索結果
120[.]48[.]3[.]144(ZoomEye搜索結果
178[.]62[.]81[.]147(ZoomEye搜索結果
159[.]203[.]71[.]145(ZoomEye搜索結果
116[.]105[.]72[.]113(ZoomEye搜索結果
182[.]59[.]88[.]117(ZoomEye搜索結果
27[.]6[.]204[.]233(ZoomEye搜索結果
115[.]48[.]212[.]167(ZoomEye搜索結果
42[.]227[.]250[.]181(ZoomEye搜索結果
219[.]157[.]145[.]211(ZoomEye搜索結果
182[.]119[.]167[.]53(ZoomEye搜索結果
42[.]224[.]124[.]173(ZoomEye搜索結果
125[.]40[.]19[.]101(ZoomEye搜索結果
196[.]70[.]116[.]243(ZoomEye搜索結果
125[.]41[.]141[.]113(ZoomEye搜索結果
219[.]157[.]59[.]51(ZoomEye搜索結果
14[.]106[.]231[.]203(ZoomEye搜索結果
87[.]150[.]3[.]191(ZoomEye搜索結果
152[.]32[.]180[.]171(ZoomEye搜索結果
192[.]241[.]221[.]199(ZoomEye搜索結果
121[.]229[.]44[.]136(ZoomEye搜索結果
192[.]241[.]220[.]251(ZoomEye搜索結果
192[.]241[.]220[.]48(ZoomEye搜索結果
192[.]241[.]220[.]47(ZoomEye搜索結果
192[.]241[.]218[.]100(ZoomEye搜索結果
62[.]16[.]2[.]14(ZoomEye搜索結果
152[.]32[.]135[.]202(ZoomEye搜索結果
139[.]162[.]8[.]54(ZoomEye搜索結果

Hashes

ecce8845921a91854ab34bff2623151e IsaacWiper
d5d2c4ac6c724cd63b69ca054713e278 HermeticRansom
3f4a16b29f2f0532b7ce3e7656799125 HermeticWiper
84ba0197920fd3e2b7dfa719fee09d2f HermeticWiper
517d2b385b846d6ea13b75b8adceb061 HermeticWizard
5d5c99a08a7d927346ca2dafa7973fc1 WhisperGate
14c8482f302b5e81e3fa1b18a509289d WhisperGate
e61518ae9454a563b8f842286bbdb87b WhisperGate
3907c7fbd4148395284d8e6e3c1dba5d WhisperGate
e5071ccd626ad4ef8b0be7561c50f1ac WhisperGate
238bf5d26e338ca205b269ca4a9f57a8 WhisperGate
033fa3ae260e465da3d541bc138d2e1d WhiteBlackCrypt x32
4a6bec571521881b387b9de3d7b06aa0 WhiteBlackCrypt x32
072da4148add1d8ee1e691cb94b31737 WhiteBlackCrypt x32
99bd77ae4a287904c813960727046d80 WhiteBlackCrypt x32
b36e5c508efea796731d444c189b413c WhiteBlackCrypt x64
490d8cdaf68619f23a2e03f55fd9e33e Pandora hVNC
6942546805623a1648960ffdc91d1cff Pandora hVNC
c2cbd5caa9012e4878ff35c31cb2122f Pandora hVNC
02190c8c52bfafe4fa69b2972f867c1b Pandora hVNC
e34d6387d3ab063b0d926ac1fca8c4c4 MicroBackdoor spearphishing ZIP archive
2556a9e1d5e9874171f51620e5c5e09a MicroBackdoor CHM dropper
bc6932a0479045b2e60896567a37a36c MicroBackdoor JS dropper

Paper 本文由 Seebug Paper 發布,如需轉載請注明來源。本文地址:http://www.bjnorthway.com/1849/