俄罗斯/乌克兰地面冲突已经十天了，查阅了几个主流威胁情报信息平台下围绕俄乌冲突观察到的网络攻击数据。在战斗的前三天，针对乌克兰政府和军事部门的网络攻击激增了196%。针对俄罗斯组织的网络攻击增加了4%。含东斯拉夫语的网络钓鱼电子邮件增加了7倍，其中三分之一的恶意网络钓鱼电子邮件是针对从乌克兰发件人发送给俄罗斯收件人（基于IP和域名信息判断）。甚至欺诈和钓鱼邮件还被发送给试图从国外向乌克兰捐款的人，且随着战事持续，网络攻击的频次和手法还会持续增多，以下把洞察到的几个点做整理分享。

• 网络攻击趋势始终保持增加

   在乌克兰政府和军事部门，与 2022年2月初期相比，记录的战斗前三天的网络攻击增加了196%。全球和其他国家并没有出现类似的明显增长。

   在过去的几天里，与前一周的同一天相比，俄罗斯境内每个组织的网络攻击增加了4%。在乌克兰，每个组织的网络攻击总量增加了 0.2%。世界其他地区的每个组织的网络攻击数量净减少，如下图所示：

   各个威胁情报组织观察到与当前俄罗斯/乌克兰战争相关的网络攻击数量均不同程度增加。

• 东斯拉夫语的网络钓鱼电子邮件增加了七倍

   CPR 发现东斯拉夫语言（俄罗斯/乌克兰电子邮件）的恶意网络钓鱼电子邮件显著增加了7倍。下表描述了过去5周内每周发送的所有恶意电子邮件中此类电子邮件的百分比：

   此外，无论是真实的还是欺骗的针对俄罗斯收件人的此类网络钓鱼电子邮件中有三分之一是从乌克兰电子邮件地址发送的。

• 对乌克兰的捐赠的定向欺诈邮件

   利用这种情况发送欺诈性电子邮件以获取经济利益，诱使收件人向虚假的乌克兰支持基金捐款。下面是一个例子：

• DDoS攻击影响乌克兰政府和银行机构

   2月15日，乌克兰网络警察报告说，居民正在积极接收假短信。这些信息很可能是为了引起人们的恐慌，因为他们声称自动取款机出现故障。

   在发现短信后不久，发生了几次针对性DDoS攻击。这些袭击影响了乌克兰政府组织，包括国防部、外交部、乌克兰武装部队和乌克兰广播电台。此外，攻击还针对两家银行机构，PrivatBank和Oschadbank。对DDoS攻击的初步调查表明，Mirai和Meris僵尸网络可能已被用于攻击。

   2月18日，美国和英国都将这些 DDoS 攻击归咎于俄罗斯的主要情报局 (GRU)。过去一周，乌克兰继续观察到针对其政府和金融机构的 DDoS 攻击相对稳定。但是，目前尚未确定正在进行的攻击的归属。乌克兰 CERT 确实在 RaidForums 上发现了一个名为“Carzita”的用户的帖子，该帖子暗示其他参与者也可能出于未公开的原因发起 DDoS 和破坏性攻击。

• 恶意数据擦除软件持续扩散

   2月23日，一个名为conhosts._exe的恶意文件（SHA256：1bc44eef75779e3ca1eefb8ff5a64807dbc942b1e4a2672d77b9f6928d292591）从乌克兰基辅的一个组织上传到公共恶意软件存储库。此可执行文件是一个签名文件，具有来自名为Hermetica Digital Ltd. 的组织的有效签名。此签名证书已被其颁发者明确吊销。执行后，此文件会枚举硬盘驱动器上的所有文件，擦除分区信息，然后强制系统重新启动，这可以预见会导致以下屏幕：

   进一步的分析证实，恶意软件接受远程命令行参数，允许攻击者指示恶意软件休眠一段时间或关闭系统。此外，负责实际擦除活动的内核模块来自名为EaseUS Partition Master 的合法应用程序。该软件被设计为免费的分区软件，可以重新组织磁盘空间以获得更好的性能。在追踪这一威胁时，早期报告显示，该恶意软件已针对乌克兰的一家金融机构以及拉脱维亚和立陶宛的两家为乌克兰政府提供服务的承包商部署。此外，ESET研究人员警告说，他们发现这种恶意软件安装在乌克兰的“数百台机器”上。

• 网站篡改和数据泄露

   在发现擦除器恶意软件的同时，我们还在2月23日目睹了第二轮网站破坏。这些攻击似乎复制了一个月前1月14日利用 OctoberCMS 漏洞的攻击中观察到的消息模板，同时添加了洋葱匿名网址和一条红色字体的消息，翻译为“您需要证明吗，请参阅最后的链接。”

.onion网站链接到一个自称为“自由平民”的实体，并提供出售包含乌克兰公民个人数据的数据库。在过去24小时内，泄密部分的实体名单已扩大到 48 个gov.ua域和一家为飞机和直升机制造发动机的乌克兰公司 ( motorsich.com )。

• Telegram成为网络攻击执行的分发前沿

   过去几年，加密即时通讯应用程序Telegram已成为网络犯罪分子最喜欢的首选平台。自2月24日冲突爆发以来，也一直在密切关注Telegram上日益增长的活动。与入侵前一天相比，看到的有关涉及俄乌冲突的用户组大约增加了 6倍。我们提供了一些看起来像是攻击增加的洞察。

   我们重点观察到的三种快速增长的用户组：

针对俄罗斯的网络攻击组织，组内敦促成员以不同的工具和方式攻击俄罗斯目标，主要是DDoS攻击。

用户组内敦促新加入的成员通过筹款来支持乌克兰，其真实性令人怀疑，通常被怀疑是欺骗。

许多“新闻提要”组，播放有关冲突的最新和“独家”新闻报道，绕过主流新闻媒体。

参考链接：

https://blog.checkpoint.com/2022/02/27/196-increase-in-cyber-attacks-on-ukraines-government-and-military-sector/

https://unit42.paloaltonetworks.com/preparing-for-cyber-impact-russia-ukraine-crisis/

https://www.microsoft.com/en-us/security/business/nation-state-attacks

https://cofense.com/blog/

https://www.crowdstrike.com/blog/category/threat-intel-research/