俄罗斯工业和政府面临的新网络攻击

关键要点

自6月以来，俄罗斯多个工业和政府单位受到信息窃取后门的网络攻击。攻击者在8月中旬部署了更新版本的恶意软件。窃取信息的手段包括伪造的PDF文档和恶意脚本。新版后门具备更多信息窃取功能，有可能针对更多的网页浏览器。

近期，俄罗斯的多个工业和政府组织遭遇了信息窃取后门的网络攻击。根据BleepingComputer的报道，这些尚未明确身份的威胁行为者自6月以来就频繁活动，并在8月中旬推出了更新版的恶意软件。攻击者通过伪装成电子邮件的钓 phishing 邮件，利用一个带诈骗PDF文件的恶意ARJ压缩包和NSIS脚本，来部署名为“UsrRunVGAexe”的恶意程序，以及其他后门如Netrunner和Dmcserv。

一元机场.cn

根据卡巴斯基的报告，这些攻击者通过在隐藏窗口中安装恶意可执行文件来确保持久性。更深入的分析显示，UsrRunVGAexe后门不仅列出文件夹和文件并窃取文件，还能够收集桌面截图和剪贴板内容，同时扫描不同后缀的文件，这些文件会通过AES加密以规避检测。此外，威胁行为者在更新版本的后门中添加了更多的信息窃取功能，可能会为更多的网页浏览器所瞄准。

该报告提醒所有相关单位需加强网络安全防护，以应对不断演变的威胁。防止信息泄露的关键在于保持警惕，识别可疑的网络活动和未受信任的文件。

威胁特征描述信息窃取后门利用“UsrRunVGAexe”等恶意软件收集敏感信息。持久性通过隐藏窗口安装恶意可执行文件。文件监控列出文件，扫描并加密不同格式的文件。增强特性更新版本增加针对更多浏览器的侵犯能力。

在这个复杂的网络环境中，各个组织都应强化自身的网络安全措施，并通过培训提高员工的安全意识，以降低遭受攻击的风险。