俄乌战争中的心理战！俄罗斯黑客针对乌克兰发起多阶段心理战行动

ESET Research最新发布的报告显示，该公司跟踪了名为“Texonto”网络行动，这是一项利用垃圾邮件作为主要分发方式的虚假信息/心理行动(PSYOP)活动。通过两波心理战发送的信息，俄罗斯背景的威胁行为者试图通过有关战争相关话题的虚假信息来影响和挫伤乌克兰公民的士气。第一波发生在2023年11月，第二波发生在2023年12月底。电子邮件的内容涉及供暖中断、药品短缺和食品短缺，这是俄罗斯宣传的典型主题。此外，ESET在2023年10月检测到一次针对乌克兰国防公司的鱼叉式网络钓鱼活动，并于2023年11月检测到一次针对欧盟机构的鱼叉式网络钓鱼活动，两次都利用标准外观的虚假Microsoft登录页面。两次行动的目标都是窃取Microsoft Office 365帐户的凭据。由于这些心理战和网络钓鱼操作所使用的网络基础设施非常相似，ESET研究人员可以高度确信它们之间存在关联。长期以来，此类非法业务在俄罗斯网络犯罪界非常流行。更多的关键点还揭示了属于 Texonto 行动一部分并与俄罗斯内部话题相关的域名。这意味着Texonto行动可能包括针对俄罗斯持不同政见者和已故反对派领导人支持者的鱼叉式网络钓鱼或信息行动。

俄罗斯-乌克兰混合战争

据ESET称，Sandworm和Gamaredon等与俄罗斯结盟的威胁行为者在与乌克兰的网络战中使用了威胁活动，这场网络战与为期两年的地面行动同时进行。Sandworm在战争初期特别使用雨刮器破坏乌克兰IT基础设施，而Gamaredon最近则加强了网络间谍活动。

研究人员在帖子中写道：“Texonto行动展示了另一种利用技术来试图影响战争的方式。”不过他们没有将这次行动归咎于特定的行动者。“我们发现了一些典型的虚假微软登录页面，但最重要的是，有两波通过电子邮件进行的间谍活动，可能试图影响乌克兰公民，让他们相信俄罗斯会获胜。”

负责调查的ESET研究人员Matthieu Faou在给Dark Reading的电子邮件中指出，Texonto行动还展示了与典型恶意活动的其他显着偏差。

“Texonto行动案例中有趣的是，同一个威胁行为者既参与虚假信息，又参与鱼叉式网络钓鱼活动，而大多数威胁行为者都执行其中之一，”他观察到。“因此，很明显这是一次有计划的间谍活动，而不仅仅是有人在互联网上发布错误信息。”

Texonto行动时间表

研究人员指出，该活动还表明不再使用Telegram或虚假网站等常见渠道来传达恶意信息。

两个不同的攻击浪潮

该行动的第一个迹象出现在10月份，当时乌克兰一家大型国防公司的员工收到了一封据称来自IT部门的网络钓鱼电子邮件。该消息警告说，他们的邮箱可能会被删除，并且要登录，他们必须单击指向邮箱Web版本的链接并使用其凭据登录。

相反，该链接会指向一个网络钓鱼页面，ESET研究人员从属于提交给VirusTotal的操作的另一个域推测，这是一个伪造的 Microsoft登录页面，旨在窃取Microsoft 365凭据，尽管他们无法检索网络钓鱼页面本身。

该活动的下一波浪潮是第一次pysops行动，该行动向至少数百名为乌克兰政府和能源公司工作的人员以及个人公民发送带有PDF附件的虚假信息电子邮件。

然而，与之前描述的网络钓鱼活动相反，这些电子邮件的目标似乎纯粹是虚假信息，目的是在乌克兰人心中播下怀疑的种子，而不是传播恶意链接。

攻击活动中的电子邮件告知收件人潜在的食物、取暖和药品短缺，其中一封甚至建议他们吃“鸽子烩饭”，甚至还提供了一只活鸽子和一只煮熟的鸽子的照片，“表明这些文件是故意创建的”为了激怒读者，”研究人员指出。

他们写道：“总的来说，这些信息与俄罗斯的共同宣传主题相符。” “他们试图让乌克兰人民相信，由于俄罗斯和乌克兰的战争，他们不会获得毒品、食物和供暖。”

Pysops浪潮的第二阶段发生在2023年12月，并扩展到其他欧洲国家，随机排列了数百个目标，从乌克兰政府到意大利制鞋商，但仍然用乌克兰语编写。研究人员在活动中发现了两种不同的电子邮件模板，这些模板向乌克兰人发送讽刺性的节日问候，这是另一种贬低和劝阻他们的努力。

恶意域名和防御策略

研究人员主要跟踪域名，以跟上参与Texonto行动的网络犯罪分子的脚步，这使他们走上了一些有趣的道路。其中一个是看似无关但典型的加拿大药房垃圾邮件活动，该活动使用了攻击者操作的电子邮件服务器，这是“俄罗斯网络犯罪社区中非常流行的非法业务类别”，他们说。

与该活动相关的其他域名反映了最近发生的时事，例如著名的俄罗斯反对派领导人阿列克谢·纳瓦尔尼 (Alexei Navalny) 的去世，他于2月16日在监狱中去世。这些域名的存在——包括Navyny-votes[.]net、Navalny-votesmart[.]net和Navyny-voting[.]net——“意味着Texonto行动可能包括针对俄罗斯持不同政见者的鱼叉式网络钓鱼或信息行动，”研究人员写道。

ESET在其报告中包含了一系列妥协指标(IOC)，包括域名、电子邮件地址和MITRE ATT&CK技术。Faou表示，研究人员还建议组织启用强大的双因素身份验证（例如电话身份验证器应用程序或物理密钥），以防御针对Office 365的鱼叉式网络钓鱼攻击。

总之，Texonto行动展示了另一种利用技术来影响战争的方式。ESET发现的一些典型的虚假微软登录页面，但最重要的是，有两波通过电子邮件进行的心理战可能试图通过有关战争相关主题的虚假信息来影响和打击乌克兰公民。

关于防御恶意行为者试图在网上传播虚假信息，最好的保护是运用批判性思维，而不是相信互联网上的任何信息。

参考资源：

1.https://www.darkreading.com/remote-workforce/russian-cyberattackers-launch-multi-phase-psyops-campaign

2.https://www.welivesecurity.com/en/eset-research/operation-texonto-information-operation-targeting-ukrainian-speakers-context-war/

3.https://www.welivesecurity.com/en/eset-research/operation-texonto-information-operation-targeting-ukrainian-speakers-context-war/

原文来源：网空闲话plus

“