圈小蛙
微软获得法院命令删除用于攻击乌克兰的域名
微软周四披露,它获得了一项法院命令,以控制APT28使用的七个域名,目的是消除其对乌克兰的攻击,APT28是一个由俄罗斯军事情报部门运作的国家支持的团体。
微软负责客户安全和信任的公司副总裁Tom Burt表示:“我们已经将这些域名重新定向到微软控制的天坑,使我们能够减轻Strontium组织目前对这些域名的使用,并启用受害者通知。 ”
APT28,也被称为Sofacy、Sednit、Pawn Storm、Fancy Bear、Iron Twilight 和Strontium,是一个网络间谍组织和一种高级持续性威胁,自2009年以来一直活跃,攻击媒体、政府、军队和国际非政府组织(NGO),这些组织往往以安全为重点。
科技巨头微软指出,威胁行为者使用沉睡的基础设施来瞄准乌克兰机构以及美国和欧盟的政府和智囊团,以保持长期持续访问和窃取敏感信息。
微软表示,此次扣押是系统拆除威胁行为者使用的长期投资的一部分,并补充说,它已实施使用15次的快速法律框架来拆除100多个Strontium控制的域名。
Meta公司对Ghostwriter和Phosphorus采取行动
微软披露这一消息之际,Facebook的母公司Meta透露,它在其平台上对源自阿塞拜疆和伊朗的秘密对抗网络采取了行动,删除了账户并阻止其域名被共享。
据信,阿塞拜疆的行动专门针对该国的民主活动人士、反对派团体和记者以及国外的政府批评家进行的凭证钓鱼和间谍活动。
另一个行动涉及UNC788(又名Charming Kitten、TA453或Phosphorus),这是一个与政府有联系的黑客组织,曾为支持伊朗的战略重点而开展监视行动。
Meta公司在其第一季度的对抗性威胁报告中指出:“这个组织使用了低级别的虚假账户和更复杂的虚构角色的组合,他们可能用来与潜在目标建立信任,并诱使他们点击网络钓鱼链接或下载恶意应用程序。”
被称为HilalRAT的恶意Android应用程序冒充看似无害的古兰经应用程序来提取敏感信息,例如联系人列表、短信、文件、位置信息,以及激活摄像头和麦克风。
Meta公司还表示,它阻止了与一个未报告的伊朗黑客组织相关的恶意活动,该组织利用类似于Tortoiseshell的策略来瞄准或欺骗能源、IT、海运物流、半导体和电信行业的公司。
这个活动的特点是在Instagram、LinkedIn、Facebook和Twitter上有一套精心设计的虚假个人资料,黑客冒充真实公司和幌子公司的招聘人员,诱使用户点击钓鱼链接,传递信息窃取恶意软件,这些恶意软件被伪装成VPN、计算器、有声读物和消息应用程序。
“他们在VMWare ThinApp虚拟化平台上开发了恶意软件,这使他们能够在许多不同的系统上运行,并将恶意的有效载荷保留到最后一刻,使恶意软件检测更具挑战性。”Meta解释说。
最后,与白俄罗斯结盟的Ghostwriter组织试图侵入数十名乌克兰军人的Facebook账户,这也被Meta公司破坏了。
这些攻击在“少数情况下”取得了成功,它们滥用了对受害者社交媒体账户的访问权限,并发布了虚假信息“呼吁军队投降,就好像这些帖子来自合法账户所有者一样”。