APT28黑客组织利用 Follina 漏洞在乌克兰传播并窃取敏感数据

在最近的网络安全态势观察中，乌克兰计算机应急响应小组 (CERT-UA)表示，一种利用Windows操作系统中 Follina 漏洞来窃取密码的恶意软件，正通过新的鱼叉式攻击在传播。乌克兰将该网络攻击归因于此前被命名为 APT28 的俄罗斯黑客组织。

根据中国网络安全行业门户极牛网(GeekNB.com)的梳理，该鱼叉式钓鱼攻击通过一份名为“Nuclear Terrorism A Very Real Threat.rtf”的诱饵文件进行传播，当该文件被打开时，则会利用Follina漏洞下载并执行名为 CredoMap 的恶意程序。

Follina漏洞的漏洞号为 CVE-2022-30190（CVSS评分：7.8），通过利用该流动可以进行远程代码执行并影响windows系统诊断工具，微软已于6月14日的补丁更新中修复了该漏洞，但该零日漏洞可能在官方发布更新之前已在野被积极利用。

根据网络安全研究人员的分析，CredoMap是基于 .NET 的凭据窃取程序的新变种，该恶意软件的主要目的是从几种流行的浏览器（如 Google Chrome、Microsoft Edge 和 Mozilla Firefox）中窃取敏感数据，包括密码和保存的cookie等。

虽然该攻击看起来只是窃取密码等无关痛痒的行为，但密码往往是获取绝密情报的关键，很多人都在猜测该攻击是俄罗斯军事情报部门联合APT28对乌克兰发起的网络战的一部分，而窃取的密码和用户登录凭据也主要是用于军事情报目标。

除了指控APT28的攻击，乌克兰还指控过Sandworm和UAC-0098等组织的网络攻击，这些攻击都是基于 Follina 的感染链将 CrescentImp 和 Cobalt Strike Beacons 部署到关键基础设施的目标主机上。

在俄乌之间持续的战争中，网络战也被双方多次利用，乌克兰也向全球雇佣IT军队用于在网络空间上对抗俄罗斯，全球网络空间局势在今年风云变幻，更多关注网络战争的资讯请持续关注极牛网的报道。