关于乌克兰网络攻击的网络研讨会——摘要和问答

 

译者:知道创宇404实验室翻译组
原文链接:https://securelist.com/webinar-on-cyberattacks-in-ukraine-summary-and-qa/106075/

 

关于网络研讨会

2022年3月10日,卡巴斯基的全球研究和分析小组(GReAT)分享了他们对乌克兰当前(和过往)网络攻击的见解。在这篇文章中,我们解决了我们没有时间回答的问题,并提供了能够帮助您抵御已识别的威胁的IoCs。你可以在这里观看网络研讨会的完整录像: ‘目前乌克兰的网络攻击一览’

网络研讨会内容包括对乌克兰遭受攻击的回顾,以及对乌克兰当前网络活动的概述,其中包括已知的 APT 活动、未知派别实施的DDoS 攻击、利用商业性的rat攻击、黑客行动主义、网络罪犯的活动以及不明来源的攻击。

在网络直播中,我们还分析了卡巴斯基在乌克兰的蜜罐网络识别的攻击,以及对 Gamaredon、 Cyclops Blink、 Hades/Sandworm 和未知组织使用 PandoraBlade 等商品恶意软件进行的 APT 攻击的分析。我们还调查了针对乌克兰组织使用的不同雨刷,包括HermeticWiper、 WhisperGate、 IsaacWiper 和HermeticRansom。我们还报道了在同一时间段内发生的未知和未归因的攻击以及黑客活动。

我们估计,在未来六个月内,乌克兰的网络攻击数量将会增加。虽然目前大多数攻击的复杂性较低,如 DDoS 攻击或使用在售和低质量工具的攻击,但也存在更复杂的攻击,预计还会有更多攻击。目前复杂的活动包括部署 hermadewiper,它比较成熟也比较高级,以及 Viasat 的“网络事件”–部分网络中断,影响了乌克兰和欧洲 KA-SAT 网络其他地方固定宽带客户的互联网服务,影响了欧洲超过30000个终端。

目前,我们评估这场冲突的网络战场蔓延到欧洲的风险为中等。

我们建议机构:

  • 针对 DDoS 攻击、勒索软件和破坏性恶意软件、网络钓鱼、定向攻击、供应链攻击和固件攻击采取措施
  • 确保任何和所有面向互联网的系统都安装了最新的补丁
  • 在端点上安装安全软件
  • 建立全面的日志记录系统,防御者对可疑事件保持警惕
  • 在所有机器上建立严格的应用程序白名单
  • 积极搜寻公司内部网络中的攻击者

 

Q&A

由于时间的限制,我们不能在网络研讨会期间解决所有的问题,所以以下是我们在现场会议中收到的其余问题的答案:

问: 使用企业资源发动攻击的可能性有多大?

答: 根据攻击的性质,攻击可能不会区分家庭系统、中小企业系统和企业系统。例如,受感染的物联网和网络设备(如 ip 摄像机)可能被任何人使用,并可能被攻击者感染和滥用,以发动 DDoS 攻击等攻击。攻击者将使用和滥用任何他们需要的资源,以便进行他们的攻击。如果这包括企业资源,那么它们将不会幸免。

问: 目前我们已经看到在德国地区许多不同的 TOR-exits 服务中出现了大规模连接爆发。这是否能说明威胁情况的”真实”图景,因为许多攻击者似乎来自——单就这个实例中——德国,或者是可能来自那些目前非常有兴趣对欧洲或乌克兰造成损害的地区?

答: 当涉及到攻击的来源时,我们通常会考虑 TOR 和其他匿名服务。由于退出节点上的强制策略,并非所有攻击(例如对我们的蜜罐基础设施的攻击)都很容易通过 TOR 实现。

问: 我想知道,对于针对俄罗斯目标的攻击,包括来自“黑客行动主义者”和其他人的攻击,你有什么看法?你能帮助我们区分炒作造谣与真正产生影响的攻击吗?

答: 我们已经看到了一些公开的“黑客”声明。它们中的大多数都没有足够的证据来证实真正的黑客行为,我们也没有能力或资源来验证它们中的大多数”。最重要的建议是不要盲目地相信所有的信息、报告和声明——尤其是未经验证的内容或者来自未经验证的渠道/账户的内容。

问: 我们都知道 REvil 组织的活动和 Kaseya 事件。REvil 成员几个月前被俄罗斯联邦安全局逮捕。你认为这些人可能被克里姆林宫“雇佣”来组织对乌克兰的进攻吗?或者你认为有可能确定是否有攻击者是前 REvil 成员?

答: 我们对犯罪分子或其他黑客的受雇佣情况没有太多深入了解,对任何政府或相关组织的计划和战略也没有太多深入了解。我们的重点仅仅在于技术方面,而这正是我们的专业知识和重点所在。犯罪分子和其他黑客的真实身份是执法部门和相关机构的关注领域。

问: 俄罗斯和乌克兰之间的这场冲突将如何影响金融业务?防火墙和防病毒工具是否足以抵御来自欧洲的网络攻击?

答: 金融交易和其他业务是通过金融机构网络处理的。它们通常使用许多不同的方法加以保护。攻击源(即地区或国家)通常不是防御方面的首要问题,而是技术和攻击目标。根据这一点,防御者应该采用特定的方法和策略来防止攻击。

问: 你们有关于针对非政府组织的攻击的最新数据吗?

答: 一些调查显示,攻击目标包括非政府组织——这些可以通过我们的威胁情报报告服务获得。

下面是从我们在乌克兰的蜜罐传感器得到的 IoCs 列表。这些都是被观察到的,最显著且相关的攻击 IP 地址。

 

IoCs

185[.]252[.]232[.]67(ZoomEye搜索结果
133[.]242[.]129[.]39(ZoomEye搜索结果
120[.]48[.]3[.]144(ZoomEye搜索结果
178[.]62[.]81[.]147(ZoomEye搜索结果
159[.]203[.]71[.]145(ZoomEye搜索结果
116[.]105[.]72[.]113(ZoomEye搜索结果
182[.]59[.]88[.]117(ZoomEye搜索结果
27[.]6[.]204[.]233(ZoomEye搜索结果
115[.]48[.]212[.]167(ZoomEye搜索结果
42[.]227[.]250[.]181(ZoomEye搜索结果
219[.]157[.]145[.]211(ZoomEye搜索结果
182[.]119[.]167[.]53(ZoomEye搜索结果
42[.]224[.]124[.]173(ZoomEye搜索结果
125[.]40[.]19[.]101(ZoomEye搜索结果
196[.]70[.]116[.]243(ZoomEye搜索结果
125[.]41[.]141[.]113(ZoomEye搜索结果
219[.]157[.]59[.]51(ZoomEye搜索结果
14[.]106[.]231[.]203(ZoomEye搜索结果
87[.]150[.]3[.]191(ZoomEye搜索结果
152[.]32[.]180[.]171(ZoomEye搜索结果
192[.]241[.]221[.]199(ZoomEye搜索结果
121[.]229[.]44[.]136(ZoomEye搜索结果
192[.]241[.]220[.]251(ZoomEye搜索结果
192[.]241[.]220[.]48(ZoomEye搜索结果
192[.]241[.]220[.]47(ZoomEye搜索结果
192[.]241[.]218[.]100(ZoomEye搜索结果
62[.]16[.]2[.]14(ZoomEye搜索结果
152[.]32[.]135[.]202(ZoomEye搜索结果
139[.]162[.]8[.]54(ZoomEye搜索结果

Hashes

ecce8845921a91854ab34bff2623151e IsaacWiper
d5d2c4ac6c724cd63b69ca054713e278 HermeticRansom
3f4a16b29f2f0532b7ce3e7656799125 HermeticWiper
84ba0197920fd3e2b7dfa719fee09d2f HermeticWiper
517d2b385b846d6ea13b75b8adceb061 HermeticWizard
5d5c99a08a7d927346ca2dafa7973fc1 WhisperGate
14c8482f302b5e81e3fa1b18a509289d WhisperGate
e61518ae9454a563b8f842286bbdb87b WhisperGate
3907c7fbd4148395284d8e6e3c1dba5d WhisperGate
e5071ccd626ad4ef8b0be7561c50f1ac WhisperGate
238bf5d26e338ca205b269ca4a9f57a8 WhisperGate
033fa3ae260e465da3d541bc138d2e1d WhiteBlackCrypt x32
4a6bec571521881b387b9de3d7b06aa0 WhiteBlackCrypt x32
072da4148add1d8ee1e691cb94b31737 WhiteBlackCrypt x32
99bd77ae4a287904c813960727046d80 WhiteBlackCrypt x32
b36e5c508efea796731d444c189b413c WhiteBlackCrypt x64
490d8cdaf68619f23a2e03f55fd9e33e Pandora hVNC
6942546805623a1648960ffdc91d1cff Pandora hVNC
c2cbd5caa9012e4878ff35c31cb2122f Pandora hVNC
02190c8c52bfafe4fa69b2972f867c1b Pandora hVNC
e34d6387d3ab063b0d926ac1fca8c4c4 MicroBackdoor spearphishing ZIP archive
2556a9e1d5e9874171f51620e5c5e09a MicroBackdoor CHM dropper
bc6932a0479045b2e60896567a37a36c MicroBackdoor JS dropper

本文由 Seebug Paper 发布,如需转载请注明来源。本文地址:https://paper.seebug.org/1849/

(完)