乌克兰承受的网络攻击：针对重要基础设施的威胁

关键要点

乌克兰的系统遭遇了利用近七年历史的Microsoft Office远程代码执行漏洞CVE20178570的攻击。攻击利用一个包含脚本的旧美国陆军扫雷刀具手册的PowerPoint文件传播。此次攻击导致了Cobalt Strike的部署，尽管攻击者使用的域名与军事行业无关。

乌克兰的系统最近遭受到网络攻击，黑客利用了一种已存在近七年的Microsoft Office远程代码执行漏洞CVE20178570，以部署Cobalt Strike，这是根据The Hacker News的报道指出的。

这次的入侵始于一个包含旧美国陆军扫雷刀具手册的PowerPoint文件，该文件相信是通过Signal即时通讯应用共享的。根据Deep Instinct的报告，该文件中嵌入了一个脚本，利用了这一高危Office漏洞。该脚本随后激活一个包含JavaScript代码的HTML文件，不仅能实现持久性，还可假冒Cisco AnyConnect VPN客户端，并最终导致Cobalt Strike的妥协。

对于这次攻击活动的具体情况仍存在不确定性，尽管诱饵可能针对军事人员，研究人员指出，攻击者使用的域名与军事行业并无关联。这些发现是继乌克兰计算机应急响应小组的一份报告之后，该报告详细描述了俄罗斯国家支持的威胁组织Sandworm对全国近20个关键基础设施实体的攻击。

尽管网络攻击通过非军事手段进行，但其目标显然与乌克兰的军事人员紧密相关。

攻击要素描述漏洞追踪CVE20178570攻击方式通过PowerPoint文件传播目标乌克兰关键基础设施及军事人员攻击者俄罗斯背景的Sandworm影响范围近20个关键基础设施实体

通过这次事件，可以清楚看出网络安全的重要性，以及保护关键基础设施的必要性。针对像Cobalt Strike这样的高级恶意软件，相关单位需要加强对漏洞的监控和修补措施，以确保信息安全不被侵犯。

白鲸加速器官方