这是真实的比任何电影、电视剧都刺激好看！更真实！一定看完!

我们都知道俄乌战争其实是俄国对抗乌+欧盟+美国 除了在子弹炮弹导弹还是信息战

英国国家网络安全中心 (NCSC) 和微软警告称，俄罗斯国家支持的攻击者“Callisto Group”（又名“Seaborgium”或“Star Blizzard”）正在针对世界各地的组织开展鱼叉式网络钓鱼活动，用于窃取帐户凭据和数据。

Callisto 是一个高级持续威胁攻击者 (APT)，自 2015 年底以来一直活跃，归属于俄罗斯联邦安全局 (FSB) 的“Centre 18”部门

去年，微软的威胁分析师 通过停用威胁行为者用于监视和电子邮件收集的微软帐户，阻止了一个针对多个欧洲北约国家的组织的攻击。微软还报告了与网络钓鱼活动相关的 69 个域，以关闭这些网站。

今年 1 月，NCSC 对 Callisto 的攻击发出了警告 ，强调了该组织的开源情报 (OSINT) 和社会工程技能。

今天，英国正式将导致 英美贸易文件泄露、 2018 年英国智库 Statecraft 研究所遭受黑客攻击以及最近 StateCraft 创始人 Christopher Donnelly 遭受黑客攻击的攻击归咎于 Callisto。

此外，英国表示，该组织是针对多个政党、大学、记者、公共部门、非政府组织和其他民间社会组织议员的凭证和数据盗窃攻击的幕后黑手。

英国在一份新闻声明中写道：“外交、联邦和发展办公室还召见了俄罗斯大使，表达英国对俄罗斯持续试图利用网络干涉英国及其他地区政治和民主进程的深切关注。”

卡利斯托的最新战术

英国 NCSC 在今天发布的公告中表示，Callisto 仍然专注于针对该国政府组织、智囊团、政治家、国防工业单位和各种非政府组织发起鱼叉式网络钓鱼攻击。

NCSC警告称：“此公告提高了人们对 Star Blizzard 用于针对个人和组织的鱼叉式网络钓鱼技术的认识。该活动将持续到 2023 年。 ”

攻击者从 LinkedIn 等社交媒体平台获取关键信息，然后通过向不太可能被企业安全软件监控的个人地址发送电子邮件来接近目标。

随着时间的推移与目标建立融洽关系后，Callisto 会发送嵌入在 Google Drive 或 OneDrive 上托管的 PDF 文档中的恶意链接，从而将目标引导至网络钓鱼站点。

Callisto (Microsoft)使用的诱饵文档示例

托管在非法域上的网络钓鱼网站以 Microsoft、Yahoo 和其他电子邮件平台为目标，通常受到验证码的保护，以过滤掉机器人并给人一种额外合法性的感觉。

攻击中使用的一些网络钓鱼页面 （微软）

网络钓鱼操作由开源 EvilGinx 代理攻击框架支持，该框架会窃取用户凭据和会话 cookie。这使得 Callisto 在使用被盗凭据登录时可以绕过双因素身份验证。

接下来，攻击者使用窃取的信息访问受害者的电子邮件帐户，分析他们的收件箱，并设置转发规则，使他们能够持续访问受害者未来的通信。

在最后阶段，Callisto 操作员会识别并参与任何横向网络钓鱼机会，利用对受害者收件箱的访问权限来攻击其他关键目标。

Microsoft 今天还 发布了一份报告， 重点介绍了威胁行为者在 2023 年 4 月之后采用的以下新技术、策略和程序：

使用服务器端脚本阻止对恶意基础设施的自动扫描。使用 HubSpot 和 MailerLite 等电子邮件营销平台服务来掩盖真实的电子邮件地址。使用 DNS 提供商来屏蔽 VPS 基础设施的 IP 地址。使用域生成算法（DGA）可以更好地规避和抵抗区块。

防御 Callisto 威胁和任何鱼叉式网络钓鱼攻击需要采取多方面的方法，包括使用硬件密钥等防网络钓鱼的 MFA 方法、实施严格的条件访问策略以及监控异常活动。

受到美国和英国制裁

由英国、美国、澳大利亚、加拿大和新西兰机构组成的国际执法机构已经确定了 Callisto 黑客组织的两名成员。

他们是 Aleksandrovich Peretuatko（据信是 FBS Center 18 情报官员）和 Andrey Stanislavovich Korinets（又名“Alexey Doguzhiev”）。

这两个人被认为直接负责针对多个英国组织的 Callisto 行动，其中一些组织导致敏感数据未经授权的访问和泄露。

作为今天公告的一部分，英国和 美国都对这两名 试图破坏英国民主进程的成员进行了制裁。美国司法部还起诉这些成员“旨在影响英国 2019 年选举的恶意影响行动”。

美国财政部在一份新闻声明中写道：“英国已对 两名 从事鱼叉式网络钓鱼活动的个人实施制裁，他们的目的是利用获得的信息破坏英国的民主进程。”

“美国支持并声援英国，也对这些人采取了行动，查明他们与金融稳定委员会部门的联系及其针对美国关键政府网络的活动。”

美国政府的奖励计划还悬赏 1000 万美元，奖励 提供有关卡里斯托组织成员及其活动的信息。

俄罗斯军事黑客瞄准北约快速反应部队

俄罗斯 APT28 军事黑客利用 Microsoft Outlook 零日漏洞攻击多个欧洲北约成员国，其中包括北约快速部署部队。

Palo Alto Networks Unit 42 的研究人员观察到，他们在大约 20 个月的时间里，针对 14 个国家的至少 30 个组织开展了三场活动，利用了 CVE-2023-23397 漏洞，这些组织被认为对俄罗斯军方和政府可能具有战略情报意义。

俄罗斯黑客还被追踪为“Fighting Ursa”、“Fancy Bear”和“Sofacy”，他们之前曾与俄罗斯主要情报局（GRU）（该国的军事情报机构）有联系。

乌克兰当然也没闲着

乌克兰称其入侵俄罗斯航空机构并泄露数据

隶属国防部的乌克兰情报部门声称，他们入侵了俄罗斯联邦航空运输局“Rosaviatsia”，以揭露俄罗斯航空业据称崩溃的情况。

Rosaviatsia 是负责监督俄罗斯民航业、保存飞行或紧急事件记录的机构。

据乌克兰公告称，在侵入俄罗斯机构并窃取文件后，他们确定俄罗斯航空部门因制裁和无法正常维修飞机而遭受损失。

俄罗斯怎么忍下这口气呢？马上就反击

俄罗斯联邦安全局逮捕了为乌克兰网络部队工作的俄罗斯黑客

俄罗斯联邦安全局 (FSB) 逮捕了两名据信帮助乌克兰军队实施网络攻击以破坏俄罗斯关键基础设施目标的人。

两名嫌疑人于同一天在西伯利亚的两个不同地区（托木斯克和克麦罗沃）被拘留，并面临严重的叛国罪指控，最高可判处 20 年监禁。

俄罗斯关键网络中断

俄罗斯安全机构周二发布新闻稿称，其官员拘留了两名协助或加入乌克兰黑客进行网络行动的黑客。

一名嫌疑人是托木斯克国立控制系统和无线电电子大学的学生。俄罗斯媒体称，调查发现他协助乌克兰黑客组织对俄罗斯信息结构网络进行网络攻击。

他被带上飞机，送往莫斯科莱福尔托沃的审前拘留中心，该中心过去被称为臭名昭著的克格勃监狱和政治犯审讯场所。

第二名嫌疑人是一名来自贝洛沃小镇的 36 岁男子，据信是乌克兰网络部队的成员。

据俄罗斯联邦安全局称，他参与了乌克兰军队指挥的黑客行动，这些行动部署了恶意软件并破坏了俄罗斯的关键基础设施网络。

俄罗斯联邦安全局的新闻稿称，嫌疑人加入了一个为乌克兰利益服务的网络部门，并通过在线消息解决方案与其他成员进行沟通。

FSB称俄罗斯黑客帮助乌克兰进行网络攻击

在联邦安全局发布的一段视频中，两名警察从车里走出来，将嫌疑人固定住，给他戴上手铐。

据《生意人报》报道，根据俄罗斯联邦刑法第 275 条，已对两名黑客提起刑事诉讼：

叛国罪，即俄罗斯公民实施的间谍活动、泄露国家机密或在敌对活动中向外国、外国组织或其代表提供任何其他援助，损害俄罗斯联邦的外部安全俄罗斯联邦，应判处剥夺自由 12 至 20 年 [...]

俄罗斯联邦安全局过去曾逮捕过其他向乌克兰军队提供信息的个人，无论是为了支持这一事业还是为了经济利益。

其中一人在一段认罪视频中称，他从乌克兰顿涅茨克地区来到俄罗斯克拉斯诺亚尔斯克，被指控提供封闭城市泽列诺戈尔斯克基础设施的坐标。

他还表示，他拍摄了克拉斯诺亚尔斯克的基础设施，收集了俄罗斯武装部队军事人员在哈尔齐斯克的位置数据，并向乌克兰情报官员提供了这些数据。

自 5 月以来，俄罗斯 Sandworm 黑客入侵了 11 家乌克兰电信公司

2023 年 5 月至 9 月期间，国家支持的俄罗斯黑客组织（被追踪为“Sandworm”）入侵了乌克兰的 11 家电信服务提供商。

这是基于乌克兰计算机紧急响应小组 (CERT-UA) 的一份新报告，引用了“公共资源”和从一些违规提供商处检索到的信息。

该机构表示，俄罗斯黑客“干扰”了该国 11 家电信公司的通信系统，导致服务中断和潜在的数据泄露。

Sandworm 是一个非常活跃的间​谍威胁组织，与俄罗斯 GRU（武装部队）有联系。攻击者在 2023 年将重点放在乌克兰，使用 网络钓鱼 诱饵、 Android 恶意软件和 数据擦除器。

针对电信公司

这些攻击首先是 Sandworm 使用“masscan”工具对电信公司的网络进行侦察，对目标网络进行扫描。

Masscan 脚本示例 (CERT-UA)

Sandworm 会寻找开放端口和未受保护的 RDP 或 SSH 接口，以利用它们来破坏网络。

此外，攻击者还使用“ffuf”、“dirbuster”、“gowitness”和“nmap”等工具来查找 Web 服务中的潜在漏洞，这些漏洞可用于获取访问权限。

不受多重身份验证保护的受损 VPN 帐户也被用来获取网络访问权限。

为了使他们的入侵更加隐蔽，Sandworm 使用“Dante”、“socks5”和其他代理服务器通过他们之前入侵的乌克兰互联网区域内的服务器来路由他们的恶意活动，从而使其显得不那么可疑。

CERT-UA 报告称， 在被入侵的 ISP 系统中发现了两个后门，即“Poemgate”和“Poseidon”。

Poemgate 捕获尝试在受感染端点中进行身份验证的管理员的凭据，为攻击者提供对其他帐户的访问权限，他们可用于横向移动或更深入的网络渗透。

Poseidon 是一个 Linux 后门，乌克兰机构称其“包括全套远程计算机控制工具”。Poseidon 的持久性是通过修改 Cron 添加恶意作业来实现的。

Cron 二进制修改以增加 Poseidon 的持久性 (CERT-UA)

Sandworm使用“Whitecat”工具消除攻击痕迹并删除访问日志。

在攻击的最后阶段，黑客部署了会导致服务中断的脚本，尤其是针对 Mikrotik 设备，并擦除备份以使恢复变得更加困难。

损害 Mikrotik 设备的脚本 (CERT-UA)

CERT-UA 建议国内所有服务提供商遵循 本指南中的建议 ，以提高网络入侵者入侵其系统的难度。

美国制裁为 Ryuk 勒索软件关联公司洗钱的俄罗斯人

美国财政部外国资产控制办公室 (OFAC) 已对俄罗斯公民叶卡捷琳娜·日达诺娃 (Ekaterina Zhdanova) 实施制裁，因为她为包括勒索软件参与者在内的多个个人洗钱数百万美元。

Zhdanova 利用她在加密货币和区块链网络方面的专业知识，通过 Garantex（因帮助 Hydra 市场而于 2022 年 4 月受到制裁）等各种平台转移资金，以逃避“反洗钱/打击恐怖主义融资”(AML/CFT) 控制。

区块链分析公司 Chainalisys 的一份报告提供了有关 Zhdanova 公共业务的更多信息，这些信息可能是也可能不是她复杂的洗钱计划的一部分。

OFAC 和 Chainaanalysis 均指出，Zhdanova 还利用她与其他洗钱者组成的广泛全球网络的联系，进一步掩盖她的金融活动并接触更传统的客户。

Zhdanova 的资金转移活动 （Chainaanalysis）

帮助 Ryuk 勒索软件附属机构

据信，Zhdanova 还洗白了向 Ryuk 勒索软件操作的一家附属公司支付的超过 2,300,000 美元的可疑赎金。

Ryuk 团伙在 2018 年至 2021 年间非常活跃，对任何部门的组织进行猖獗的攻击，包括大流行期间的医疗保健，并勒索受害者尽可能高的金额。

赎金洗钱过程 （Chainaanalysis）

Zhdanova 隐藏 Ryuk 附属公司资金非法来源的系统涉及欺诈性开设投资账户和购买房地产。

有趣的是，另一名为 Ryuk 勒索软件团伙洗钱三年的俄罗斯公民被从荷兰引渡，最近在美国认罪。

除了勒索软件之外，日丹诺娃还协助俄罗斯寡头逃避西方世界因俄罗斯入侵乌克兰而实施的制裁。

在一个案例中，她代表一位俄罗斯寡头将超过 1 亿美元的资金转移到阿拉伯联合酋长国。当局还证实了她安排俄罗斯客户获得阿联酋税务居留权、身份证和银行账户的几起案件。

由于 OFAC 制裁，叶卡捷琳娜·日丹诺娃 (Ekaterina Zhdanova) 在美国的所有资产将被冻结，而美国个人和实体将被禁止与她进行任何交易。