俄罗斯APT28 利用 HEADLACE 恶意软件攻击欧洲关键网络

2024年6月3日,皮尔路易吉·帕格尼尼报道,俄罗斯相关的APT28组织(又名Fancy Bear、Pawn Storm、Sofacy Group、Sednit、BlueDelta和STRONTIUM)利用名为HeadLace的恶意软件以及凭证收集网页,针对欧洲各地的网络发动攻击。

据Insikt Group的研究人员观察,俄罗斯GRU的APT28小组在2023年4月至12月期间,分三个不同阶段部署了HeadLace恶意软件,采用的方式包括网络钓鱼、受感染的互联网服务以及靠陆地生存的二进制文件。APT28创建的凭证收集页面能够通过在合法服务和受感染的Ubiquiti路由器之间传递请求,击败双因素身份验证和CAPTCHA挑战。

攻击手段和目标

在某些攻击中,威胁行为者在Mocky上创建特制的网页,这些网页与在受感染的Ubiquiti路由器上运行的Python脚本进行交互,以窃取提供的凭据。受攻击的目标包括乌克兰国防部、欧洲交通基础设施以及阿塞拜疆的智库。攻击者通过这些攻击收集情报,影响战场战术和更广泛的军事战略。此外,APT28对阿塞拜疆经济和社会发展中心的兴趣表明,他们可能意图了解并影响地区政策。

攻击链和技术细节

Insikt Group详述了APT28使用的七个不同的基础设施阶段,用于过滤沙盒、不兼容的操作系统和非目标国家。未通过这些检查的受害者会下载一个良性文件,并被重定向到Microsoft的Web门户msn.com。通过检查的用户则会下载恶意的Windows BAT脚本,该脚本连接到免费API服务以执行连续的shell命令。

2023年12月,Proofpoint和IBM的研究人员详细介绍了新一波APT网络钓鱼攻击,这些攻击依靠多种诱饵内容来传播HeadLace恶意软件,目标包括至少13个不同的国家。根据Insikt Group发布的报告,乌克兰是主要目标,占活动的40%,其次是土耳其,占10%。土耳其虽然看似意外,但也被HeadLace地理围栏单独挑出,而乌克兰、波兰和阿塞拜疆则既被地理围栏瞄准,又被凭证收集。

APT28自2007年以来一直活跃,目标包括全球的政府、军队和安全组织,并参与了多次重大的网络攻击行动,包括2016年美国总统大选。鉴于APT28的持续威胁,相关机构需采取积极措施,加强防御和监控,确保网络安全。

原创文章,作者:速盾高防cdn,如若转载,请注明出处:https://www.sudun.com/ask/88617.html

(0)
速盾高防cdn的头像速盾高防cdn
上一篇 2024年6月3日 下午11:11
下一篇 2024年6月3日

相关推荐

  • 如何在网络安全中防止sadf攻击?

    在当今互联网时代,随着网络技术的发展,网络安全问题也日益突出。其中,sadf攻击作为一种常见的网络安全威胁,给用户带来了巨大的损失。那么,什么是sadf攻击?它又会给我们带来哪些危…

    问答 2024年4月11日
    0
  • 如何制作可爱的奶茶书签?

    你是否也被可爱的奶茶书签迷倒?想要拥有一个与众不同的奶茶书签,却又不知道如何制作?不用担心,今天我就来为你揭秘制作可爱奶茶书签的秘密。什么是奶茶书签?它是一种以奶茶杯为造型的书签,…

    问答 2024年3月23日
    0
  • vhdl语言的基本语法介绍

    你是否听说过VHDL语言?它是一门在网络行业中广泛应用的编程语言,具有强大的功能和灵活的特点。但是,你知道它是如何发展起来的吗?它又有哪些基本概念和特点呢?今天,我将为你介绍VHD…

    问答 2024年4月9日
    0
  • 如何写好医疗软文?

    医疗软文,这个在网络行业备受关注的话题,究竟是什么?它的重要性和作用又有哪些?如何选择合适的题材和角度来撰写医疗软文?在写作过程中需要注意哪些事项,并掌握哪些技巧?或许你对这些问题…

    问答 2024年4月18日
    0

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注