烏克蘭軍事領袖郵件帳號被駭後，對盟國發動精準釣魚攻擊

安全廠商近日發現一波釣魚信件，駭客疑似駭入烏克蘭軍方高層郵箱，向提供協助的西方國家政府官員發動精準釣魚攻擊。

Proofpoint是在上周四（2/24）俄國出兵攻擊烏克蘭當天，偵測到這波釣魚攻擊行動，該公司稱之為Asylum Ambuscade，Ambuscade意指從暗處偷襲。信件是在北約（NATO）安全理事會針對一個俄羅斯暗殺名單召開緊急會議後發出，信件主旨為烏克蘭安全理事會於2月24日召開緊急會議的事項，對象是協調烏克蘭難民救援的西方國家官員。

這封信件內含一個Excel工作表，副檔名為XLS的附件。一旦用戶開啟即會下載惡意Lua檔，名為SunSeed。植入過程中，檔案存在C:\ProgramData\.security-soft，及建立Windows LNK捷徑檔以便長期滲透，每當Windows啟動即會執行。SunSeed則負責與外部C2伺服器建立連線，以下載更多惡意程式。

目前研究人員還不確定這樁行動的目的為何，但由於收信人是負責協調歐陸地區人員運輸、經費分配、物資調度的關鍵人士，可以判斷攻擊者已將目標轉向難民移置工作。

分析其手法，研究人員這波相信和一月間攻擊烏國數十網站的UNC1151駭客組織有關，Proofpoint稱為TA445。這個組織是由白俄羅斯政府操控，但一般相信也和俄羅斯政府有關。

Proofpoint無法斷定上周的釣魚信件攻擊一定是TA445，但分析其時間點、利用駭入的烏克蘭軍方人士帳號發送釣魚信件，以及操弄難民議題，則和這個組織很相似。TA445過去就常發動假訊息來挑動歐洲國家反難民情結，及造成北約國家的緊張關係。而假訊息也是已知俄國及白俄的軍事作戰手法。

為了防範俄方的假訊息攻擊，烏克蘭政府曾要求管理域名的ICANN能撤銷俄羅斯的頂級域名及SSL憑證，但ICANN等則認為俄國民眾將會首當其衝，而拒絕了此項要求。