俄罗斯黑客利用 WinRAR 破坏乌克兰国家机构的数据

文章重点

• 俄罗斯的持续威胁组织 Sandworm 利用 WinRAR 破坏乌克兰国家网络中的数据。
• 此次攻击涉及通过被骇的 VPN 帐户进入乌克兰的关键系统，并使用 WinRAR 执行删除脚本。
• Sandworm 使用了多种脚本，包括 Windows 的 "RoarBat" 和 Linux 的 Bash 脚本，删除各类型文件。
• 此事件与 Sandworm 在一月针对乌克兰国家新闻机构 Ukrinform 的攻击类似。

根据 的报导，俄罗斯的高级持续威胁组织 Sandworm 利用 WinRAR 压缩程序在乌克兰的国家网络中摧毁了 Windows 和 Linux机器上的数据。根据乌克兰政府计算机紧急响应小组的最新通告，乌克兰的关键系统是通过被盗的 VPN 帐户进入的，随后利用 WinRAR执行了删除机器上存储的文件的脚本。

Sandworm 被指出在 Windows 系统上使用 "RoarBat" 脚本删除不同类型的文件，包括 docx、xlsx 和 exe 文件，而在 Linux 系统上则使用了 Bash 脚本。CERT-UA 指出，这一事件与 Sandworm 在一月针对乌克兰国家新闻机构 Ukrinform的攻击相似。CERT-UA 提到：“恶意计划的实施方法、访问对象的 IP 地址及使用修改版的 RoarBat 的事实均显示出与对 Ukrinform的网络攻击有相似之处，该信息于 2023 年 1 月 17 日在 Telegram 频道 'CyberArmyofRussia_Reborn' 上发布。”

相关连结