首页 > 业界 > 关键词  > 网络攻击最新资讯  > 正文

APT组织Lorec53(洛瑞熊)发动多轮针对乌克兰的网络攻击活动

2022-02-19 20:59 · 稿源:资讯动态

一 事件概要

近期,绿盟科技伏影实验室捕获到了大量针对乌克兰的钓鱼文件攻击活动,关联恶意文件包括pdf、doc、cpl、lnk等类型。经过分析,我们确认这一系列钓鱼活动均来自APT组织Lorec53(中文名称:洛瑞熊)。该组织在2021年底至2022年2月的期间内,使用多种攻击手法,对乌克兰国防部、财政部、大使馆、国企、公众医疗设施等关键国家机构投递多种钓鱼文件,进行以收集组织人员信息为主的网络攻击活动。

二 组织背景

Lorec53(中文名称:洛瑞熊)是由绿盟科技伏影实验室首先确认并命名的新型APT组织,活跃在东欧地区。乌克兰计算机应急响应中心在近期的报告(https://cert.gov.ua/article/18419)中将该组织编号为UAC-0056。绿盟科技伏影实验室发现该组织可捕获的间谍木马投放活动最早出现在2020年,并在2021年初开始组织针对乌克兰与格鲁吉亚的大规模网络间谍攻击活动。

Lorec53在攻击工具、域名注册信息、资产位置等方面暴露了大量俄语黑客特征,其攻击目标也与俄罗斯的国家利益关系密切。研究Lorec53的发展轨迹发现,该组织疑似受到其他高级间谍组织的雇佣,通过承接国家级间谍攻击业务或出售政府部门机密文档来获取收益。

Lorec53有较强的渗透能力,攻击手法多变,能够组织大规模高密度的钓鱼攻击活动,还善于借鉴其他组织的社会工程学技术与网络资源管理方式。

目前,受Lorec53组织攻击影响的受害者包括伊朗国家银行用户,格鲁吉亚防疫与卫生部门,乌克兰国防部、总统府、内政部、边防局等国家部门。

三 事件总览

Lorec53本轮攻击行动持续时间较长,攻击目标十分广泛,且攻击手法带有明显的组织特征。

Lorec53在本轮攻击中延续了以往的诱饵设计手法,构建了包括掩盖部分信息的乌克兰语政府文档、带有乌克兰语标题和伪装扩展名的快捷方式文件、带有乌克兰语文件名的cpl文件等钓鱼诱饵,并伪装成具有公信力的组织成员分发这些诱饵。

1645269963133364.png

部分钓鱼诱饵名称与翻译

这一系列钓鱼攻击活动中,Lorec53攻击者主要使用了3237.site、stun.site、eumr.site三个域名,作为各类钓鱼文件的下载服务器。site域是Lorec53的常用域之一。截至2月11日,部分URL仍可访问并且能够传递载荷文件,说明本轮攻击活动仍在持续中。

Lorec53在本次一系列攻击中,将收集到的乌克兰关键设施邮箱直接写入了诱饵文本中。根据Lorec53既往行为判断,这样的操作可能是用于增加诱饵的可信度。该特征也为调查人员确认攻击覆盖面提供了依据。

1645269979417451.png

部分钓鱼邮件中的邮件地址与对应组织

Lorec53这次依然使用了已知的木马程序,包括LorecDocStealer(又名OutSteel)、LorecCPL、SaintBot,并尽可能地对这些木马程序进行了壳封装。

四 总结

本次发现的多起攻击事件,都是Lorec53(洛瑞熊)在2021年底至2022年2月不同时间段内执行的针对乌克兰政府部门、军队、国企的大规模网络攻击活动的一部分。这些攻击事件主要目的仍为前期探测与信息收集,并且在各个阶段都显示了Lorec53的鲜明特征。

本次捕获的钓鱼诱饵表明,Lorec53在运营国家级网络攻击活动时,确实继承了该组织的雇佣军黑客行为特征。Lorec53会批量制作、定期调整钓鱼诱饵的内容,搭配灵活的下载服务器地址和CnC地址,对暴露在外的乌克兰关键机构的邮箱进行无差别的骚扰和攻击。这种大规模投放的攻击思路与Lorec53早期作为邮件僵尸网络运营者的运营思路较为相似。

当前,针对乌克兰地区的网络间谍活动的活跃度明显上升,绿盟科技伏影实验室将持续关注Lorec53组织的活动进展。

举报

  • 相关推荐
  • 大家在看
  • 【腾讯云】618年中专享优惠抢先看,价值1206元礼券一键领取

    腾讯云618采购采购季,云服务器多种机型限时抢购,产品首购低至1折,续费最高享3.6折优惠。,专业技术7*24小时在线服务,腾讯云为企业和个人提供快捷,安全,稳定的云服务!

    广告
  • 为抵御网络攻击 意大利巴勒莫市关闭了所有系统

    受周五遭遇的网络攻击的影响,位于意大利南部、拥有 130 万人口的巴勒莫市被迫关闭了所有系统。据悉,作为该国的第五大人口城市,该地区每年迎接近 230 万游客。但在系统下线之后,此举对与市民和游客息息相关的广泛运营服务都产生了巨大影响。截图(来自:Google 搜索) 过去三天,当地 IT 专家(SISPI)一直在努力尝试恢复系统运转。可惜的是,时至今日,巴勒莫市的所有公共服务和门户网站仍处于离线状态。 当地多家媒体报道称,本轮网络攻击影响到了包括公共视频监控和警察行动中心在内的所有市政服务。任何依靠数字系统开展的交流或服

  • 亚马逊前工程师因2019年Capital One网络攻击事件而被定罪

    一名前亚马逊网络服务(AWS)工程师因入侵客户的云存储系统并窃取跟2019年Capital One大规模违规事件有关的数据而被认定有罪。美国西雅图地区法院周五判定Paige Thompson犯有七项计算机和电信欺诈罪,这将使其最高可被判处20年的监禁。Thompson在网上的名字是Erratic,他因在2019年7月实施Capital One黑客攻击而被捕。该漏洞是有史以来最大的漏洞之一,其曝光了美国和加拿大超过1亿人的姓名、出生日期、社保号码、电子邮件地址和电话号码。此后,Capital One因涉嫌未能确保用户数据安全而被罚款8000万美元并跟受影响的客户达成了1.9亿美元的

  • 有效抵御网络攻击!SSL证书守护企业站安全

    不论是DNS劫持还是钓鱼网站,其本质都是绕过真实网站域名,诱导用户点击攻击者制定的恶意IP,因此,防御DNS劫持和钓鱼网站的有效方案,就是为网站安装SSL证书,提升网站的防护能力...SSL证书由国家授权的电子认证服务机构签发,安装SSL证书可以认证网站服务器身份,帮助用户识别正确网站,避免用户点击钓鱼网站,以及防止网站DNS被黑客劫持,保障网站的关键信息不被窃取、篡改等...网站使用EV证书,在地址栏中会显示企业名称,更有利于用户辨识,可进一步提升用户对网站的信任感以及网站的信誉度......

  • 运用人工智能发展的新技术可在不到一秒内阻止网络攻击

    我们家中的计算机、笔记本电脑和其他智能小工具可以受到人工智能的保护,可以快速识别和消除恶意软件。卡迪夫大学的研究人员已经开发出一种新的方法,可以在不到一秒钟的时间内自动检测并中止针对我们的笔记本电脑、计算机和智能设备上的网络攻击。以一种全新的方式使用人工智能,该技术已被发现能有效防止计算机上高达92%的数据被破坏,平均只需0.3秒就能消灭一个恶意软件。该团队于12月6日在《安全与通信网络》上发表了他们的研究结果,并表示这是首次展示一种既能实时检测又能杀死恶意软件的方法,这可以改变现代网络安全的方法,并避?

  • Check Point:通过网络安全防止中小型企业 (SMB) 成为供应链攻击薄弱环节

    近年来,供应链攻击已经成为企业与机构面临的主要安全挑战之一...对于中小型企业而言,实施严格的安全措施和有效的网络安全流程以确保随时应对网络攻击事件比以往任何时候都更为重要...中小型企业通常没有专门的 IT 或安全部门,这意味着没有内部安全专业知识,而且对安全补丁的关注较少,因此更容易被攻击者盯上并实施攻击和入侵...通过利用网络钓鱼等策略,网络犯罪分子可以通过中小企业的网络对整个供应链网络发起恶意软件攻击、窃取数据和凭证或挑起勒索软件攻击......

  • HALO Trust将使用Spot机器狗帮助乌克兰清理未爆弹药

    ForeignPolicy 援引知情人士的爆料称:美国陆军已决定向一家非盈利组织提供两只机器狗的其中一只,以帮助清理乌克兰地区的地雷和其它哑弹。据悉,HALO Trust 是一家拿到过多份美国政府合同的排雷企业。该公司将使用波士顿动力制造的 Spot 四足机器狗,在乌克兰首都基辅附近的前俄方控制区清理遗留的迫击炮和集束炸弹。据悉,尽管扫雷人员可在六周内完成训练。但自俄乌冲突爆发以来,四散的人员已经难以被招募到一起,因而机器人的重要性不言而喻。HALO Trust 执行董事 Chris Whatley 指出:在去年的一次测试中,Spot 在类似乌克兰的小型、

  • Check Point:医疗行业网络安全应避免简单“堆砌”

    这种情况在医疗行业表现得最为突出,其中近八分之一的医疗机构使用了超过 10 种单点产品...那么,如果安全架构整合的好处如此明显,为何各个企业不能即刻部署?...而且医疗行业整合的时机也已成熟,其拥有庞大的设备网络,从笔记本电脑到 MRI 扫描仪再到肾脏透析机等关键医疗设备,无所不包...Check Point 现场首席信息安全官Deryck Mitchelson表示:“医疗行业应该最适合使用 Check Point Infinity 等整合安全解决方案......

  • Cloudflare成功阻击了有史以来最大的HTTPS DDoS攻击

    Cloudflare透露,它发现并成功阻击了有记录以来最大的HTTPSDDoS攻击,本次攻击峰值每秒发出2600万个请求,而目标仅仅是Cloudflare的一个免套餐划的客户。在宣布这一消息的两个月前,Cloudflare称它阻止了针对其另一客户的另一场大型HTTPSDDoS攻击。与4月份的攻击类似,这次的攻击主要来自云服务提供商,而不是住宅互联网服务提供商。这意味着数据中心里的虚拟机和服务器被劫持来实施攻击,而不是此前惯用的物联网(IoT)设备。进行这次攻击的僵尸网络由5067台设备组成,在攻击的高峰期,每个节点每秒发出5200个请求。Cloudflare指出,这次

  • 乌克兰政府通过出售捐赠的CryptoPunks NFT而筹集到10万美元资金

    早些时候,乌克兰政府以 90 ETH 卖出了 CryptoPunks 的 #5364 NFT,当时的换算价格超过了 10 万美元...截至乌克兰政府已接收 482 BTC、9711 ETH、120 万美元的 USDC、以及许多其它加密代币...第一波捐赠已经耗尽,但他希望有余力的支持者们可贡献出更多...

  • 小米米家App崩了 官方回应:网络故障 正在恢复

    今日晚间,有网友反映,米家App崩了,出现无法控制家中的设备的情况,一些网友表示:我还以为买的东西都坏了”回到家啥设备都失灵了查了半天原来是米家崩溃了”...对此,@米家App 官微回应称:亲爱的米家用户,很抱歉,由于网络故障,导致米家App及语音控制在6月16日出现服务异常,服务正在陆续恢复中...今年4月30日,米家官方微博还曾就米家App、语音控制等相关的服务出现异常进行致歉,并解释称,由于公网云网络故障,导致米家App、语音控制等相关的服务在4月30日05时30分起出现异常...

  • 华为Mate 50会出合约机吗?

    不会华为Mate 50系列不会推出合约机版本。安卓合约机的版本已经很少推出,Mate50系列更是不太可能,原因之一就是现在Mate50系列的产量比较少,正常非合约机的版本已经是货源紧张的状态,基本上没有可能推出合约机的版本。目前大多数的运营商也很少推出合约机手机,主要原因是三大运营商都开始推广5G,且用户可以比较方便的换运营商,因此合约机的市场已经很小。

  • 天玑1100玩游戏怎么样?

    目前市面上手游都可以玩。联发科天玑 1100 率先采用先进的 6nm 制程工艺及旗舰级的八核 CPU 架构,包括 4 颗高性能的 Arm Cortex-A78 核心。集成 5G 调制调节器,为您带来不凡的 5G 表现。MediaTek 天玑 1100 采用旗舰级的八核 CPU 架构,包括四颗主频高达 2.6GHz 的 Arm Cortex-A78 高性能核心,为您提供不凡的应用运行体验。MediaTek HyperEngine 3.0 游戏优化引擎为玩家带来更加可靠、稳定的游戏网络连接,多点触控技术可进一步提升手机用户的游戏跟手性,升级的游戏优化引擎可降低游戏功耗、让终端更加省电。

  • vivo X90有几个摄像头?

    四摄vivo X90采用了后置四摄的影像系统,后置四摄设计在手机背部左上角的位置,并且集成在一个“圆角矩形”模块里面,加上较为方正的机身设计以及全新的机身配色,因此整个手机看起来非常好看。据悉该机采用了2亿像素主摄+5000万像素超广角+1200万像素长焦镜头以及TOF镜头组成+500万像素辅助镜头的后置四摄组合,同时该机还采用了新一代“微云台”OIS光学防抖技术。

  • 华为Mate 50 Pro会不会使用屏下摄像头?

    可能不会华为Mate 50系列还是会有四个型号,分别是mate50,mate50 Pro、mate50 Pro+,还有最高端的保时捷版本,但使用屏下摄像头的可能性还是比较小。目前从爆料的信息来看,Mate 50系列使用还是挖孔屏的设计,基本款Mate50是单摄像头,Pro和Pro+都是前置双摄像头,但它们都会有屏下指纹解锁以及人脸解锁。

  • 华为Mate 50 Pro和Pro+区别是什么?

    屏幕、摄像头等屏幕:Mate 50 Pro屏幕是6. 8 英寸,2K 分辨率屏幕和 120Hz 自适应刷新率,Pro+的屏幕是6. 79英寸、2K级别分辨率、120Hz刷新率、LTPO自适应刷新率技术、1920 高频PWM调光,提供超声波屏下指纹识别摄像头:Mate 50 Pro和Pro+最大的区别是在摄像头,Mate 50 Pro可能是后置四摄,主摄是6400万像素,Pro+则是5000万像素大底主摄、4000 万像素超广角、6400 万像素超级潜望镜头、3D Tof镜头的后置四摄组合,主摄和长焦镜头均加入了OIS技术充电:Mate50 Pro预计提供66W快充,Pro+则是提供100W的快充,它们都支持50W无线充电和反向无线充电

  • 天玑1100是几纳米工艺?

    6纳米。天玑1100是由联发科发行的一款5G手机芯片。MediaTek 天玑1100率先采用先进的6nm 制程工艺及旗舰级的八核 CPU 架构,包括4颗高性能的 Arm Cortex-A78核心。集成5G 调制调节器,为您带来不凡的5G 表现。MediaTek 天玑1100采用旗舰级的八核 CPU 架构,包括四颗主频高达2.6GHz 的 Arm Cortex-A78高性能核心,为您提供不凡的应用运行体验。天玑1100支持16GB 的强大四通道内存,以及双通道 UFS3.1闪存,可提供更快的读写与响应速度。

  • 华为Mate 50 Pro有高刷吗?

    有华为Mate 50 Pro屏幕将提供120Hz的高刷新率屏幕,预计是一块6.78英寸OLED瀑布屏,支持1300P分辨率与120Hz自适应高刷新率,应用1920Hz高频PWM调光。Mate50系列应该都会有高刷新率屏幕,而且这也逐渐成为了安卓阵营中高端型号标配的功能。甚至不少2000元价位的手机也提供了高刷新屏幕。

  • 天玑1100跑分是多少?

    单核得分为863,多核得分为2929。天玑1100在Geekbench5上的表现结果,单核得分为863,多核得分为2929。在安兔兔上的跑分结果为668279,其中中央处理器为175383,图形处理器为231154,记忆118538,用户体验140457,整体表现上和骁龙780G是差不多的。

  • vivo X90支持北斗导航吗?

    支持vivo X90是支持北斗导航、GPS导航,Galileo导航,GLONASS导航,QZSS,NavIC。目前北斗导航是国内导航定位的主流之一,采用三频定位的卫星定位系统,三个不同频率的信号能够有效消除误差,从而带来更高的卫星定位精度。北斗+5G的天然契合,强强联手大大的提升了用户的体验。同时vivo手机是率先支持北斗系统。

  • 天玑1100能玩原神吗?

    能玩,但是画质需要开低。正如大多数原神玩家所知道的那样,这是一款对手机图形要求很高的游戏,但是天玑1100还是可以玩玩原神的,但是你的画质特效不能开到很高,不然的话会有点掉帧,玩久了也会有点卡顿。MediaTek 天玑 1100 率先采用先进的 6nm 制程工艺及旗舰级的八核 CPU 架构,包括 4 颗高性能的 Arm Cortex-A78 核心。MediaTek HyperEngine 3.0 游戏优化引擎为玩家带来更加可靠、稳定的游戏网络连接,多点触控技术可进一步提升手机用户的游戏跟手性,升级的游戏优化引擎可降低游戏功耗、让终端更加省电。

  • 华为Mate 50 Pro可以升级什么系统?

    鸿蒙3.0华为Mate 50 Pro在出厂的时候将会预装鸿蒙3.0系统,如果之后华为发布鸿蒙4.0的话,预计也会在之后更新鸿蒙4.0。鸿蒙3.0系统预计在2022年7月、8月开始推送更新,支持的机型包括华为P50、P50 Pro、P50 Pocket 、Mate 40、Mate 40 Pro、Mate 40 Pro 4G、Mate 40 Pro+、Mate 40 RS 保时捷设计。华为平板:MatePad Pro 12. 6 英寸2021 款等等。

  • vivo X90最高存储空间多大?

    16+512Gvivo X90的存储版本最高16+512G,最高运存不再是上代的12G了。骁龙8Gen Plus、16+512G存储组合,vivo X90这一点就很值得期待,最大的运行内存带来的是更高的流畅度。此外还有线性双扬声器、X线性电机和IP68防水防尘功能。

  • vivo X90电池容量多大?

    5200 毫安vivo X90 内置了一个5500mAh大容量电池,并且支持120w超级快充,充电速度非常快,续航时间非常长,缓解了用电焦虑的问题。以4000mAh电池为例,120w超级快充, 5 分钟就能充进去50%电量,用时 15 分钟就能充至100%电量。vivo X90 内置的这块5500mAh大容量电池时间上将提升一个档次。

  • 天玑1100相当于苹果A几?

    苹果A12。从Geekbench5的分数来看,天玑1100和苹果A12的得分相近,天玑1100的单核分数为863,多核分数为2929,苹果A12的单核得分为1115,多核得分为2843,总体而言,苹果A12的单核性能更强,但是多核的性能是天玑1100比较好一点点。安兔兔的跑分来看,天玑1100的跑分为668279,苹果A12的跑分为532036,安兔兔的跑分天玑1100会好一点,两者相比的话,相差的都不是特别大。

  • 华为Mate 50 Pro有没有120瓦充电器?

    没有 Mate 50 Pro的有线充电是100W,无线充电是50W,还可以支持反向无线充电,电池容量预计是4600mAh。Mate50系列的充电速度在安卓旗舰手机中不算最快的,因为现在已经有120W甚至是200W的有线充电,但是Mate50无线充电达到了50W算是非常快的,同时也支持了反向无线充电,也是安卓阵营中比较少见的。

  • 天玑1100相当于麒麟多少?

    相当于麒麟9905G。首先来看看Geekbench5的跑分结果,天玑1100的单核分数为863,多核分数为2929,麒麟9905G的跑分结果是单核779分,多核得分为3193,两者的性能差距是不大的。天玑1100采用先进的6nm 制程工艺及旗舰级的八核 CPU,包括4颗高性能的 Arm Cortex-A78核心,CPU架构为4×A782.6GHz+4×A552.0GHz。麒麟9905G是华为推出的全球首款旗舰5G SoC芯片,是业内最小的5G手机芯片方案,面积更小,功耗更低;它可率先支持NSA/SA双架构和TDD/FDD全频段,是业界首个全网通5G SoC,采用2个大核2个中核4个小核的三档能效架构,最高主频可达2.86GHz。

  • 天玑1100相当于骁龙多少?

    相当于骁龙780G。骁龙780G在Geekbench5的跑分结果,单核为807,多核分数为2888,天玑1100的单核分数为863,多核分数为2929,两者的性能上的差距不是很大。骁龙780G是高通公司旗下的手机处理器,已于2021年3月25日正式发布,小米11青春版全球首发。采用了 三星 5nm 工艺制程。包括一个主频 2.4GHz 的 Cortex-A78核心,三个主频 2.2GHz 的 Cortex-A78核心,以及四个主频1.9GHz 的 Cortex-A55核心。天玑1100采用先进的6nm 制程工艺及旗舰级的八核 CPU,CPU架构为4×A782.6GHz+4×A552.0GHz。

  • 华为Mate 50 Pro有手写笔吗?

    没有华为Mate 50 Pro没有手写笔功能。手写笔功能目前在安卓手机市场中已经逐渐被淘汰,甚至是三星也早早自家的旗舰手机上取消手写笔。使用手写笔的前提是需要一块比较大的屏幕,Mate 50 Pro的屏幕尺寸为6.7英寸左右,不算是特别大的的屏幕,使用手写笔的效果可能不会特别好。而在华为的折叠屏手机Mate Xs系列上屏幕打开后超过8英寸,因此比较适合使用手写笔。

  • vivo X90是曲面屏吗?

    不是vivo X90采用了沉浸式一体直屏的全面屏设计,预计和上一代一样采用了一块6.76英寸的顶级三星AMOLED屏幕,屏幕分辨率为3080*1440,这块屏幕的最高亮度达到了1300尼特,支持120Hz高刷新率技术,同时还加入了新一代LTPO技术。沉浸式一体直屏是指该机不仅采用了极具黑科技的屏下相机技术,同时还采用了直面屏的屏幕封装工艺,再加上极窄的黑边处理,因此整个手机正面的视觉效果沉浸感十足。

  • 天玑1100什么时候发布的?

    2021年1月21日。联发科在2021年1月21日。发布了全新的天玑旗舰5G移动芯片——天玑1200与天玑1100。MediaTek 天玑1100率先采用先进的6nm 制程工艺及旗舰级的八核 CPU 架构,包括4颗高性能的 Arm Cortex-A78核心。集成5G 调制调节器,为您带来不凡的5G 表现。

今日大家都在搜的词: