乌克兰警告网络攻击旨在入侵用户的 Telegram Messenger 帐户

乌克兰技术安全和情报部门警告称，新一波网络攻击旨在获取用户 Telegram 官网账户的访问权限。

“犯罪分子向 Telegram官网 网站发送带有恶意链接的消息，以便未经授权访问记录，包括从 SMS 传输一次性代码的可能性，”乌克兰国家特殊通信和信息保护局 (SSSCIP)在警报中说。

这些攻击被归因于一个名为“UAC-0094”的威胁集群，其起源于 Telegram中文 消息，提醒收件人已从位于俄罗斯的新设备检测到登录，并敦促用户通过单击链接确认其帐户.

该 URL 实际上是一个网络钓鱼域，它会提示受害者输入他们的电话号码以及通过 SMS 发送的一次性密码，然后威胁参与者使用这些密码来接管帐户。

网络安全
其作案手法与 3 月初披露的早期网络钓鱼攻击类似，该攻击利用属于不同印度实体的受感染收件箱向 Ukr.net 用户发送网络钓鱼电子邮件以劫持帐户。

在乌克兰计算机应急响应小组 (CERT-UA) 观察到的另一项社会工程活动中，与战争相关的电子邮件诱饵被发送到乌克兰政府机构以部署一个间谍恶意软件。

这些电子邮件带有一个 HTML 文件附件（“俄罗斯联邦的战犯.htm”），打开后会在受感染主机上下载和执行基于 PowerShell 的植入程序。

CERT-UA 将此次攻击归咎于世界末日，这是一家总部位于俄罗斯的威胁行为者，与联邦安全局 (FSB) 有联系，至少自 2013 年以来就有袭击乌克兰实体的历史。

2022 年 2 月，该黑客组织与针对政府、军队、非政府组织 (NGO)、司法、执法和非营利组织的间谍攻击有关，其主要目标是泄露敏感信息。

据信，Armageddon 也被称为 Gamaredon，它在 2022 年 3 月末将拉脱维亚政府官员作为相关网络钓鱼攻击的一部分，利用以战争为主题的 RAR 档案来传播恶意软件。

网络安全
CERT-UA 在最近几周记录的其他网络钓鱼活动已经部署了各种恶意软件，包括GraphSteel、GrimPlant、HeaderTip、LoadEdge和SPECTR，更不用说由Ghostwriter牵头的安装 Cobalt Strike 后利用框架的操作。

据 SentinelOne 称，与名为 UAC-0056（又名 SaintBear，UNC2589，TA471）的威胁参与者有关的 GrimPlant 和 GraphSteel 攻击据信于 2022 年 2 月初开始，该公司将有效载荷描述为旨在进行侦察的有害二进制文件，凭证收集，并运行任意命令。

SaintBear 还被评估为2022 年 1 月初影响乌克兰政府机构的WhisperGate 活动的幕后黑手，该行为者从 2021 年 12 月开始为 GrimPlant 和 GraphSteel 活动准备基础设施。

上周，Malwarebytes Labs和Intezer通过包含宏嵌入 Excel 文档的鱼叉式网络钓鱼诱饵，在 3 月下旬针对乌克兰组织发起了一系列新的攻击，其中包括一个名为 ICTV 的私人电视频道。到 GrimPlant 后门（又名 Elephant Implant）的分布。

此次披露正值来自伊朗、中国、朝鲜和俄罗斯的几个高级持续威胁 (APT) 组织利用正在进行的俄乌战争作为后门受害者网络和开展其他恶意活动的借口。