俄方黑客集团攻击乌克兰及东欧防御系统

关键要点

• 俄罗斯国家支持的黑客组织Turla对乌克兰及东欧的Microsoft Exchange伺服器发动新一轮攻击。
• 攻击手段包括使用带有恶意宏的Excel电子邮件，来部署名为DeliveryCheck的后门。
• DeliveryCheck具有窃取事件日志和系统文件资料的能力，并且特定针对Signal Desktop的私密对话。

最近，俄罗斯国家支持的黑客组织针对乌克兰及东欧的国防部门的MicrosoftExchange伺服器发动了新一轮攻击。他们利用送出带有恶意宏的Excel附件的钓鱼电子邮件来开始攻击，这些宏能促使PowerShell命令执行以及创建计划任务，下载被称为DeliveryCheck的后门程式，该程式也被称为GAMEDAY和CapiBar，根据Microsoft及乌克兰计算机应急响应小组的报导。

DeliveryCheck除了能够启用JavaScript的部署外，还能窃取事件日志、系统文件资料，以及各种程序的凭证、Cookie和认证令牌。根据Microsoft威胁情报团队在推特上的消息，「这名威胁行动者特别意图窃取包含流行的SignalDesktop消息应用程序消息的文件，这将使他们能够读取私密的Signal对话，还有针对系统的文件、图片与压缩档案」。

这些新的攻击手法显示出俄方黑客对乌克兰及其周边地区持续的威胁，也强调了强化网络安全的必要性。

攻击方式 | 描述
—|—
钓鱼电子邮件 | 借由带有恶意宏的Excel附件发送钓鱼邮件来取得系统存取。
DeliveryCheck后门 | 帮助攻击者执行命令和窃取敏感资料，包括Signal消息。
数据窃取 | 可窃取事件日志、系统文件、凭证和认证令牌等重要资讯。

这些事件提醒我们，随著网络威胁的演变，保持警觉是至关重要的。针对这类网络攻击，需要不断提高网络防御能力。