农宅内私自架设GOIP设备,为诈骗团伙提供语音通话技术服务;因安装木马化的Windows 10程序,乌克兰政府网络被攻破
2022-12-19 10:31:41
Author: 黑白之道(查看原文)
阅读量:23
收藏
农宅内私自架设GOIP设备,
为诈骗团伙提供语音通话技术服务;
2022年12月18日,据上海市公安局介绍,近期,上海警方在一农宅内打掉1个为电信网络诈骗活动提供帮助的涉诈话务窝点,对3名涉案违法人员依据《中华人民共和国反电信网络诈骗法》有关规定,作出行政处罚决定。这也是该法正式施行后,上海开出的首张“反诈”行政罚单。今年12月上旬,上海市公安局刑侦总队经过研判发现,有部分外地来沪人员借用郊远地区民宅、农宅,私自架设手机端GOIP设备、固话端GOIP设备,为诈骗团伙提供语音通话技术服务,于是加强了重点地区的排查走访。12月9日,上海奉贤警方发现,某村一处农宅不久前刚出租给了3名外地来沪的年轻人,而这3名年轻租客刚入住就申请了4根电话网线。警方果断决定开展入门检查,当场在农宅内抓获陈某等3人,查获固话语音网关设备、路由器、笔记本等涉案工具。经警方调查,陈某等3名违法人员系朋友关系,抱着“轻松赚取快钱”的不法心态,主动在互联网上搭识境外诈骗分子,谈妥由陈某等人负责申请网线并架设语音网关设备,以每天2000元报酬上线8小时,将线路提供给境外诈骗分子使用。让三人没想到的是,来到上海租借农宅后,12月8日刚申请完网线、设备,仅上线1天,还未有分毫获益,就被公安机关查获了。三人使用的固话端GOIP设备能通过互联网控制固定电话呼叫,帮助远在国外的诈骗分子远程控制国内固话号码对个人进行呼叫,为电信网络诈骗活动提供便利,迷惑性极强、社会影响极为恶劣。对此,警方对具有“帮信”违法行为的陈某、谢某、司某等三人,依据《中华人民共和国反电信网络诈骗法》第四十二条规定,分别作出罚款5000元的行政处罚。这也是上海警方自今年12月1日《反电信网络诈骗法》施行后开出的首张行政处罚单。第十四条 任何单位和个人不得非法制造、买卖、提供或者使用下列设备、软件:(一)电话卡批量插入设备;(二)具有改变主叫号码、虚拟拨号、互联网电话违规接入公用电信网络等功能的设备、软件;(三)批量账号、网络地址自动切换系统,批量接收提供短信验证、语音验证的平台;(四)其他用于实施电信网络诈骗等违法犯罪的设备、软件。第四十二条 违反本法第十四条、第二十五条第一款规定的,没收违法所得,由公安机关或者有关主管部门处违法所得一倍以上十倍以下罚款,没有违法所得或者违法所得不足五万元的,处五十万元以下罚款;情节严重的,由公安机关并处十五日以下拘留。上海警方提醒市民群众:生活中切勿随意出借本人的身份证、银行卡、手机卡等重要个人物件,也不可为电信网络诈骗分子搭建各类语音网关服务设备、提供便利。因安装木马化的Windows 10程序,
乌克兰政府网络被攻破
乌克兰政府实体在其网络安装了带有木马ISO文件的Windows 10程序后,遭到了有针对性的黑客攻击。
这些恶意安装程序所加载的恶意软件能够从被攻击的计算机中收集数据,部署额外的恶意工具,并将窃取的数据渗透到攻击者控制的服务器。
在这次活动中推送的ISO文件中有一个是由2022年5月创建的托管在toloka[.]to乌克兰洪流跟踪器上。
网络安全公司Mandiant说:ISO被配置为禁用Windows计算机将发送至微软的典型安全遥测,并阻止自动更新和许可证验证。此次的攻击活动,无论是从通过窃取可赚钱的信息还是部署勒索软件或加密软件,都没有迹象表明入侵的经济动机。
在分析乌克兰政府网络上的几个受感染的设备时,Mandiant还发现了2022年7月中旬设置的预定任务,旨在接收将通过PowerShell执行的命令。
在最初的侦察之后,攻击者还部署了Stowaway、Beacon和Sparepart后门,使他们能够保持对被攻击的计算机的访问,执行命令,传输文件,并窃取信息,包括证书和击键。
木马化的Windows 10 ISO是通过乌克兰语和俄语的torrent文件共享平台分发的,与网络间谍组织在其基础设施上托管有效载荷的类似攻击不同。虽然这些恶意的Windows 10安装程序不是专门针对乌克兰政府的,但攻击者分析了受感染的设备,并对那些被确定为属于政府实体的设备进行了进一步的、更集中的攻击。
攻击者身份有迹可循
这次供应链攻击背后的组织被追踪为UNC4166,其目标可能是收集和窃取乌克兰政府网络的敏感信息。
虽然目前还没有明确的归属,但Mandiant的安全研究人员发现,在这次活动中被攻击的组织以前是与俄罗斯军事情报有联系的APT28国家黑客的目标名单上的。
UNC4166的目标与战争开始时GRU相关集群用擦拭器攻击的组织重合。
UNC4166进行后续互动的组织包括历史上遭受破坏性刮刀攻击的组织,自入侵爆发以来,我们与APT28有关。
APT28至少从2004年开始代表俄罗斯总参谋部主要情报局(GRU)开展活动,并与针对世界各地政府的活动有关,包括2015年对德国联邦议会的黑客攻击和2016年对民主党国会竞选委员会(DCCC)和民主党全国委员会(DNC)的攻击。
自从俄罗斯开始入侵乌克兰以来,多个针对乌克兰政府和军事组织的网络钓鱼活动被谷歌、微软和乌克兰的CERT标记为APT28行动。
Mandiant补充说:使用木马化的ISO在间谍行动中是新颖的,包括反侦测能力,表明这一活动背后的组织者有安全意识和耐心,因为该行动需要大量的时间和资源来开发和等待ISO安装在受关注的网络上。
最难就业季|“本想先读书躲一躲,谁料行情还不如两年前”
文章来源: http://mp.weixin.qq.com/s?__biz=MzAxMjE3ODU3MQ==&mid=2650558896&idx=1&sn=4ec1e9987b8815d67a8ca4041ab486d3&chksm=83bd3454b4cabd421ddd207b045355027c8ee44791f3f94ed4c64c510a39c9865d3117fda068#rd
如有侵权请联系:admin#unsafe.sh