烏克蘭的電腦緊急應變小組(CERT-UA)最近針對俄羅斯駭客組織APT28提出警告,該組織主要針對烏克蘭的政府機關和企業發出攻擊。他們會偽裝成系統管理員發出釣魚郵件,試圖誘騙受害者執行PowerShell命令,這樣就可以利用受害者的電腦進行盜竊機密資訊的行為。
這種攻擊方式與一般的釣魚郵件攻擊略有不同。APT28組織會使用受害者所在組織的實際系統管理員的名字註冊Outlook.com電子郵件帳戶,發送的釣魚郵件似乎来自該管理員,這使受害者更容易受騙。一旦受害者執行PowerShell命令,攻擊者會通過tasklist和systeminfo命令等對電腦進行偵查,以便收集有關電腦系統的資訊,並向特定的Mocky API發送HTTP請求以將這些資訊傳送回攻擊者端。
CERT-UA建議系統管理員應限制重要電腦的PowerShell功能,以及監控與Mocky服務的連接是否存在異常流量。這樣一來,即使有攻擊者威脅到組織的安全,也可以更快速地做出反應,從而保護組織免受威脅。
此外,防止這種攻擊的最佳方法之一是加强用户安全意識的培訓。組織應教育用户識別和避免打開釣魚郵件和下載可疑文件,以及如何創建強度高的密碼和定期更改密碼。通過加强用户安全意識,組織可以大幅降低這類攻擊的成功率,並保護組織的數據和資產安全。