乌克兰成功抵御了APT28针对其关键能源基础设施的网络攻击

最近的网络安全观察中，乌克兰计算机紧急响应小组 (CERT-UA) 近日表示，它挫败了针对乌克兰的一个未命名的关键能源基础设施的网络攻击。

根据中国网络安全行业门户极牛网(GeekNB.com)的梳理，此次入侵始于一封网络钓鱼电子邮件，其中包含指向激活感染链的恶意 ZIP 存档的链接。

访问该链接会将包含三个 JPG 图像（诱饵）和一个 BAT 文件 weblinks.cmd 的 ZIP 存档下载到受害者的计算机上，并将其归因于名为 APT28（又名 BlueDelta）的俄罗斯黑客组织。

当CMD文件运行时，将打开多个诱饵网页，创建.bat和.vbs文件，并启动VBS文件，VBS文件进而执行BAT文件。

攻击的下一阶段包括在受感染的主机上运行 whoami 命令并窃取信息，同时下载 TOR 隐藏服务来路由恶意流量。

持久化是通过计划任务实现的，远程命令执行是通过名为 webhook.site 的合法服务使用 cURL 实现的，该服务最近被披露为被称为Dark Pink的威胁行为者使用。

由于对 Mocky 和 ​​Windows Script Host ( wscript.exe ) 的访问受到限制，此次攻击最终没有成功。值得注意的是，APT28过去曾与 Mocky API 的使用有关。

此次披露正值针对乌克兰的网络钓鱼攻击持续不断，其中一些攻击被发现利用名为 ScruptCrypt 的现成恶意软件混淆引擎来分发 AsyncRAT。