Fancy Bear 活动寻求乌克兰高级人员及其军事供应商的电子邮件

快速阅读: 据《Cyber Scoop 独家新闻》称，ESET报告显示，“奇幻熊”自2023年起攻击乌克兰官员及国防承包商，利用网络钓鱼和漏洞入侵多种邮件系统。该组织被指窃取账户信息，主要目标与乌克兰局势相关，包括其供应链。法国称其自2021年起对法进行多次攻击，并影响欧盟、拉丁美洲和非洲目标。

据ESET最新研究表明，与俄罗斯总参谋部情报总局（GRU）有关的黑客组织——即“奇幻熊”，自2023年起一直针对乌克兰高级官员的电子邮件账户以及向基辅出售武器和装备的其他国家国防承包商高管发起攻击。自2023年起，该行动利用了网络钓鱼邮件和跨站脚本漏洞等技术，针对多种网络邮件软件产品，包括Roundcube、Horde、MDaemon和Zimbra。其中仅一个漏洞是零日漏洞，ESET的研究人员怀疑这个漏洞最初由“奇幻熊”（在ESET追踪中被称为APT28或“Sednit”）发现。该组织于2024年11月被发现利用了CVE-2024-11182漏洞，向两家乌克兰国有防务公司和一家乌克兰民用航空运输公司发送了电子邮件。ESET的高级恶意软件研究员马修·福在邮件中表示：“根据我们的遥测数据，Sednit是唯一使用此特定漏洞的威胁行为者。这表明他们要么自行研发了这种能力，要么从第三方供应商或漏洞交易商处购得。”

其余的网络邮件服务则因已知漏洞被攻破，这些漏洞已有补丁可用。有迹象显示，自2023年起，俄罗斯黑客组织便专注于网络邮件软件，逐步发现并添加更多可利用以攻击和侵入多种程序的漏洞。根据报告，2024年的受害者包括乌克兰、希腊、喀麦隆和塞尔维亚的地方政府官员、乌克兰和厄瓜多尔的军事官员以及乌克兰、罗马尼亚和保加利亚国防承包商的员工。“奇幻熊”在美国最为人所知的是其在2016年总统大选前对民主党全国委员会电子邮件的黑客攻击与泄露事件。自俄乌战争开始以来，该组织越来越倾向于从冲突中搜集政治和战争情报。这一间谍行动似乎意在深入了解乌克兰军队的供应链，但报告还指出，发现了拉丁美洲、欧盟和非洲受害者的相关证据。福认为，证据显示，该行动的主要目的是获取乌克兰防御体系的相关信息，而其他国家的受害者反映了GRU“也被任务收集来自广泛目标的情报，包括全球各国政府和军事实体”。

上个月，法国欧洲和外交事务部指控该组织自2021年起对十余个法国实体实施了尝试或成功的网络攻击，并企图通过秘密与网络手段在2017年扰乱法国选举。该部的声明还指责俄罗斯政府利用APT28“在俄罗斯对乌克兰的侵略战争中持续施压乌克兰基础设施”，并补充说，“近年来，许多欧洲伙伴也成为了APT28的目标”。本周，法国情报部门发布了一份长达16页的评估报告，详细说明了该黑客组织自2015年以来针对法国政府和组织的攻击。

福表示，ESET确认了至少17个独立的受害组织参与了此次网邮行动。当被问及有多少组织遭到攻击时，他说ESET的终端能够在数据外泄期间阻止大多数组织的电子邮件、恶意脚本或网络连接。“多数目标均与当前的乌克兰局势相关；它们要么是乌克兰政府实体，要么是保加利亚和罗马尼亚的国防公司。值得注意的是，其中一些国防公司正在生产苏联时期的武器供应给乌克兰。”

该组织使用的鱼叉式网络钓鱼诱饵模仿了乌克兰主流媒体如《基辅邮报》的假标题，似乎在利用其目标在冲突中的个人或商业利益。一些标题用乌克兰语书写，例如“国家安全局逮捕了一名在哈尔科夫为敌方军事情报工作的银行家”和“普京寻求特朗普接受俄罗斯条件的双边关系”。那些使用受感染网络邮件客户端打开邮件的人随后会因跨站脚本攻击收到定制的JavaScript恶意软件，能够从账户的电子邮件消息、通讯录、联系人和登录历史中窃取数据。至少有一个影响MDaemon软件的漏洞能够窃取账户的双重身份验证密码和密钥，这意味着攻击者能通过其他应用绕过安全防护，进而访问受害者的邮箱。

恶意软件利用网络邮件软件中的漏洞窃取账户凭据，方式是诱骗浏览器或密码管理器将这些凭据输入隐藏表单，或者诱导用户登出，再提供伪造的网络钓鱼登录页面重新登录。尽管JavaScript代码缺乏国家支持的黑客常用的复杂持久性机制以维持其访问权限，但ESET的研究人员指出，每次受害者打开恶意电子邮件时，恶意软件都会重新加载。福描述了与GRU相关的黑客行动正在进行中，最近一次检测到的电子邮件是在4月17日。“尽管我们很好地理解了此次行动所使用的战术、技术和程序（TTP），但我们继续密切跟踪它，以便尽快检测到网络邮件应用中新的[零日]漏洞的利用情况。”

(以上内容均由Ai生成)