俄罗斯关联的高级持续性威胁(APT)组织APT28(又名Blue Athena、BlueDelta、Fancy Bear、Fighting Ursa、Forest Blizzard、FROZENLAKE、Iron Twilight、Pawn Storm、Sednit、Sofacy、TA422、UAC-028)正被发现在全球范围内进行大规模钓鱼攻击活动。IBM X-Force最近发布的报告显示,该黑客组织与多起正在进行的钓鱼攻击有关,这些攻击通过模仿欧洲、南高加索、中亚、北美和南美的政府及非政府组织(NGO)文件作为诱饵。
报告指出,APT28使用的诱饵文件包括内部资料、公开可用的文件以及可能由该组织制造的相关文档,内容涉及金融、关键基础设施、高层会晤、网络安全、海上安全、医疗保健、商业和国防工业生产等领域。
在披露这一消息之前,该对手曾被发现利用与以色列-哈马斯冲突相关的诱饵传播定制后门程序HeadLace。自那以后,APT28还针对乌克兰政府实体和波兰组织发起钓鱼攻击,意图部署定制植入物和信息窃取器如MASEPIE、OCEANMAP和STEELHOOK。
IBM X-Force 在 2023 年 11 月下旬至 2024 年 2 月期间观察到的最新活动利用Microsoft Windows 中的“search-ms:”URI 协议处理程序来诱骗受害者下载托管在攻击者控制的 WebDAV 服务器上的恶意软件。
有证据表明,WebDAV 服务器以及 MASEPIE C2 服务器可能托管在受感染的 Ubiquiti 路由器上,该路由器是一个僵尸网络,上个月已被美国政府击落。
网络钓鱼攻击冒充来自阿根廷、乌克兰、格鲁吉亚、白俄罗斯、哈萨克斯坦、波兰、亚美尼亚、阿塞拜疆和美国等多个国家的实体,利用真实的公开政府和非政府诱饵文件来激活感染链。
安全研究人员 Joe Fasulo、Claire Zaboeva 和 Golo Mühr 表示:“在对其方法的更新中,ITG05 正在利用免费的托管提供商 firstcloudit[.]com 来暂存有效负载,以实现持续的操作。”
APT28 精心策划的计划以 MASEPIE、OCEANMAP 和 STEELHOOK 的执行而告终,这些软件旨在窃取文件、运行任意命令和窃取浏览器数据。OCEANMAP 被认为是 CredoMap 的功能更强大的版本,CredoMap 是该组织先前确定使用的另一个后门。
研究人员总结道:“ITG05 通过提供新的感染方法和利用商用基础设施,同时不断发展恶意软件功能,始终能够适应机会的变化。”