乌克兰国家计算机应急响应中心：与俄罗斯有关的黑客组织（APT）在多个政府网站植入后门

乌克兰计算机紧急响应小组（CERT-UA）透露，与俄罗斯有关的威胁行动者本周已经攻击了多个政府网站。

乌克兰计算机紧急响应小组（CERT-UA）表示，与俄罗斯有关的威胁行动者已经攻击了多个政府网站。政府专家将此次攻击归因于UAC-0056组（DEV-0586、unc2589、Nodaria或Lorec53）。

“乌克兰政府计算机紧急响应小组CERT-UA正在采取措施调查2023年2月23日事件的情况。”乌克兰计算机紧急响应小组发布的警报称：“截至2023年2月23日11:00，我们在其中一个网站上检测到了一个已知的加密Web Shell，并且在2023年2月22日22:00至2月23日05:30期间确认了其使用，因此，在网站的根Web目录中创建了“index.php”文件，这导致了Web资源主页内容的修改。”

乌克兰国家网络安全协调中心（SSSCIP）和网络警察正在共同努力，以消除威胁并调查安全漏洞。

乌克兰网络安全防御与安全机构SSSCIP发布的公告称：“今天，即2023年2月23日，一些乌克兰中央和地方政府的网站遭受了攻击，导致其某些网页内容被修改。”

国家赞助的黑客使用的Web Shell最晚创建于2021年12月23日，用于部署多个后门。

国家级行动者采用SSH后门CredPump（PAM模块）实现远程SSH访问（带有静态密码值），并在通过SSH连接时记录登录名和密码。

攻击者还使用了HoaxPen和HoaxApe后门，专家发现这些恶意代码采用Apache Web服务器模块的形式，并于2022年2月安装。

警报指出，攻击者在攻击的早期阶段采用了GOST（Go Simple Tunnel）和Ngrok程序。

警报还包括攻击的威胁指标（IoC）。

UAC-0056 APT组自2021年3月以来一直活跃，在攻击乌克兰的同时，还曾攻击吉尔吉斯斯坦和格鲁吉亚的目标。

2023年2月初，UAC-0056组在针对乌克兰的攻击中部署了一种名为Graphiron的新信息

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/4414.html