| 关键词: 乌克兰 活动 电子邮件 组织 Roundcube APT28 俄罗斯 黑客 网络 漏洞 |
一个被追踪为 APT28 并与俄罗斯总参谋部情报局 (GRU) 有联系的APT组织已经破坏了属于多个乌克兰组织(包括政府实体)的 Roundcube 电子邮件服务器。 在这些攻击中,网络间谍组织(也称为 BlueDelta、Fancy Bear、Sednit 和 Sofacy)利用有关俄罗斯和乌克兰之间持续冲突的消息诱骗收件人打开恶意电子邮件,这些电子邮件会利用 Roundcube Webmail 漏洞侵入未打补丁的网络服务器。 在入侵电子邮件服务器后,俄罗斯军方情报黑客部署了恶意脚本,将目标个人的传入电子邮件重定向到攻击者控制的电子邮件地址。 这些脚本还用于侦察和窃取受害者的 Roundcube 地址簿、会话 cookie 和存储在 Roundcube 数据库中的其他信息。 根据调查期间收集的证据,根据乌克兰计算机应急响应小组 (CERT-UA) 和 Recorded Future 的威胁研究部门 Insikt Group 进行的联合调查,该活动的目标是收集和窃取军事情报以支持正在进行的军事行动。 据估计,APT28 军事黑客在这些攻击中使用的基础设施大约从 2021 年 11 月开始运行。 Insikt Group表示:“我们确定 BlueDelta 活动极有可能针对乌克兰地区检察官办公室和乌克兰中央行政当局,以及涉及其他乌克兰政府实体和参与乌克兰军用飞机基础设施升级和翻新的组织的侦察活动。” “经过分析的 BlueDelta 网络钓鱼活动利用开源网络邮件软件 Roundcube 中的漏洞CVE-2020-35730、CVE-2020-12641和CVE-2021-44026来运行多个侦察和渗透脚本。” 与之前的网络间谍活动重叠值得注意的是,Recorded Future 表示,这次活动与之前与 APT28 相关的攻击重叠,当时他们利用关键的 Microsoft Outlook 零日漏洞 ( CVE-2023-23397 ) 在同样不需要用户交互的攻击中针对欧洲组织。 ![]() APT28 Outlook 和 Roundcube 活动重叠(Recorded Future 的 Insikt Group) 他们使用0day漏洞窃取有助于在受害者网络内横向移动的凭据,并更改 Outlook 邮箱文件夹权限以泄露特定帐户的电子邮件。 在 Outlook 活动中,GRU 黑客在 2022 年 4 月中旬至 2022 年 12 月期间入侵了大约 15 个政府、军队、能源和交通组织的网络。 谷歌的威胁分析小组最近还透露,在 2023 年第一季度针对乌克兰的所有网络钓鱼电子邮件中,大约 60%是由俄罗斯攻击者发送的,APT28 黑客组织是这一恶意活动的主要贡献者之一。 2023 年 4 月,美国和英国情报部门警告称,APT28 攻击利用思科路由器中的0Day漏洞部署Jaguar Tooth恶意软件,帮助从美国和欧盟的目标那里获取情报。 APT28 还因参与2015 年对德国联邦议会 (Deutscher Bundestag) 的黑客攻击以及2016 年对民主党国会竞选委员会 (DCCC) 和民主党全国委员会 (DNC) 的攻击而闻名(他们因此被美国指控)两年后)。 欧盟理事会于 2020 年 10 月制裁了 APT28 成员,因为他们参与了 2015 年德国联邦议院的黑客攻击。 |
| 本文出处: https://www.toutiao.com/article/7246932611501802021/ |
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|