• 尚無留言

烏克蘭的電腦緊急應變小組（CERT-UA）最近針對俄羅斯駭客組織APT28提出警告，該組織主要針對烏克蘭的政府機關和企業發出攻擊。他們會偽裝成系統管理員發出釣魚郵件，試圖誘騙受害者執行PowerShell命令，這樣就可以利用受害者的電腦進行盜竊機密資訊的行為。

這種攻擊方式與一般的釣魚郵件攻擊略有不同。APT28組織會使用受害者所在組織的實際系統管理員的名字註冊Outlook.com電子郵件帳戶，發送的釣魚郵件似乎来自該管理員，這使受害者更容易受騙。一旦受害者執行PowerShell命令，攻擊者會通過tasklist和systeminfo命令等對電腦進行偵查，以便收集有關電腦系統的資訊，並向特定的Mocky API發送HTTP請求以將這些資訊傳送回攻擊者端。

CERT-UA建議系統管理員應限制重要電腦的PowerShell功能，以及監控與Mocky服務的連接是否存在異常流量。這樣一來，即使有攻擊者威脅到組織的安全，也可以更快速地做出反應，從而保護組織免受威脅。

此外，防止這種攻擊的最佳方法之一是加强用户安全意識的培訓。組織應教育用户識別和避免打開釣魚郵件和下載可疑文件，以及如何創建強度高的密碼和定期更改密碼。通過加强用户安全意識，組織可以大幅降低這類攻擊的成功率，並保護組織的數據和資產安全。