2024年6月3日,皮尔路易吉·帕格尼尼报道,俄罗斯相关的APT28组织(又名Fancy Bear、Pawn Storm、Sofacy Group、Sednit、BlueDelta和STRONTIUM)利用名为HeadLace的恶意软件以及凭证收集网页,针对欧洲各地的网络发动攻击。
据Insikt Group的研究人员观察,俄罗斯GRU的APT28小组在2023年4月至12月期间,分三个不同阶段部署了HeadLace恶意软件,采用的方式包括网络钓鱼、受感染的互联网服务以及靠陆地生存的二进制文件。APT28创建的凭证收集页面能够通过在合法服务和受感染的Ubiquiti路由器之间传递请求,击败双因素身份验证和CAPTCHA挑战。
攻击手段和目标
在某些攻击中,威胁行为者在Mocky上创建特制的网页,这些网页与在受感染的Ubiquiti路由器上运行的Python脚本进行交互,以窃取提供的凭据。受攻击的目标包括乌克兰国防部、欧洲交通基础设施以及阿塞拜疆的智库。攻击者通过这些攻击收集情报,影响战场战术和更广泛的军事战略。此外,APT28对阿塞拜疆经济和社会发展中心的兴趣表明,他们可能意图了解并影响地区政策。
攻击链和技术细节
Insikt Group详述了APT28使用的七个不同的基础设施阶段,用于过滤沙盒、不兼容的操作系统和非目标国家。未通过这些检查的受害者会下载一个良性文件,并被重定向到Microsoft的Web门户msn.com。通过检查的用户则会下载恶意的Windows BAT脚本,该脚本连接到免费API服务以执行连续的shell命令。
2023年12月,Proofpoint和IBM的研究人员详细介绍了新一波APT网络钓鱼攻击,这些攻击依靠多种诱饵内容来传播HeadLace恶意软件,目标包括至少13个不同的国家。根据Insikt Group发布的报告,乌克兰是主要目标,占活动的40%,其次是土耳其,占10%。土耳其虽然看似意外,但也被HeadLace地理围栏单独挑出,而乌克兰、波兰和阿塞拜疆则既被地理围栏瞄准,又被凭证收集。
APT28自2007年以来一直活跃,目标包括全球的政府、军队和安全组织,并参与了多次重大的网络攻击行动,包括2016年美国总统大选。鉴于APT28的持续威胁,相关机构需采取积极措施,加强防御和监控,确保网络安全。
原创文章,作者:速盾高防cdn,如若转载,请注明出处:https://www.sudun.com/ask/88617.html
