【安全资讯】乌克兰政府机构遭遇大规模ANONVNC恶意软件攻击

概要：

乌克兰政府计算机应急响应小组（CERT-UA）于2024年8月12日发现了一起大规模网络攻击事件。攻击者伪装成乌克兰安全局发送钓鱼邮件，诱导用户下载并运行恶意软件ANONVNC（MESHAGENT），导致超过100台计算机被感染。

主要内容：

此次攻击事件始于攻击者发送伪装成乌克兰安全局的钓鱼邮件，邮件中包含一个名为“Documents.zip”的文件下载链接。用户点击链接后，会下载一个MSI文件（例如“Scan_docs#40562153.msi”），运行该文件将导致恶意软件ANONVNC（MESHAGENT）被安装，从而实现对计算机的隐蔽未授权访问。

截至2024年8月12日中午，CERT-UA已发现超过100台计算机被感染，这些计算机主要分布在乌克兰的政府机构和地方政府中。ANONVNC恶意软件包含一个配置文件，其格式与MESHAGENT的配置文件相同，表明攻击者可能借用了MESHAGENT的源代码。

此次攻击活动被标识为UAC-0198，并且相关的网络攻击至少从2024年7月开始，可能具有更广泛的地理分布。仅在文件服务pCloud的目录中，自2024年8月1日起就发现了超过一千个EXE和MSI文件。CERT-UA已采取紧急措施，以减少网络威胁的实现可能性。

ANONVNC恶意软件通过钓鱼邮件传播，感染后能够提供远程控制功能，攻击者可以通过多个域名和IP地址进行通信。此次事件表明，网络攻击者正在不断利用开源工具和现有恶意软件代码进行攻击，增加了防御的难度。