乌克兰国家计算机应急响应中心:与俄罗斯有关的黑客组织(APT)在多个政府网站植入后门

乌克兰计算机紧急响应小组(CERT-UA)透露,与俄罗斯有关的威胁行动者本周已经攻击了多个政府网站。
乌克兰计算机紧急响应小组(CERT-UA)表示,与俄罗斯有关的威胁行动者已经攻击了多个政府网站。政府专家将此次攻击归因于UAC-0056组(DEV-0586、unc2589、Nodaria或Lorec53)。
“乌克兰政府计算机紧急响应小组CERT-UA正在采取措施调查2023年2月23日事件的情况。”乌克兰计算机紧急响应小组发布的警报称:“截至2023年2月23日11:00,我们在其中一个网站上检测到了一个已知的加密Web Shell,并且在2023年2月22日22:00至2月23日05:30期间确认了其使用,因此,在网站的根Web目录中创建了“index.php”文件,这导致了Web资源主页内容的修改。”
乌克兰国家网络安全协调中心(SSSCIP)和网络警察正在共同努力,以消除威胁并调查安全漏洞。
乌克兰网络安全防御与安全机构SSSCIP发布的公告称:“今天,即2023年2月23日,一些乌克兰中央和地方政府的网站遭受了攻击,导致其某些网页内容被修改。”
国家赞助的黑客使用的Web Shell最晚创建于2021年12月23日,用于部署多个后门。
国家级行动者采用SSH后门CredPump(PAM模块)实现远程SSH访问(带有静态密码值),并在通过SSH连接时记录登录名和密码。
攻击者还使用了HoaxPen和HoaxApe后门,专家发现这些恶意代码采用Apache Web服务器模块的形式,并于2022年2月安装。
警报指出,攻击者在攻击的早期阶段采用了GOST(Go Simple Tunnel)和Ngrok程序。
警报还包括攻击的威胁指标(IoC)。
UAC-0056 APT组自2021年3月以来一直活跃,在攻击乌克兰的同时,还曾攻击吉尔吉斯斯坦和格鲁吉亚的目标。
2023年2月初,UAC-0056组在针对乌克兰的攻击中部署了一种名为Graphiron的新信息
本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处: https://blog.wuhao13.xin/4414.html