APT28 利用网络钓鱼攻击乌克兰军方窃取登录信息

乌克兰国家网络安全协调中心(NCSCC)警告军方成员,称俄罗斯支持的APT28组织发动了新的网络钓鱼攻击。NCSCC 发布警告表示:“俄罗斯正在加大网络间谍活动力度,试图通过窃取军事人员的凭证来获取乌克兰的军事情报和指挥控制系统的访问权限。”该警告通过各社交媒体平台发布,并由乌克兰 IT Army 进一步传播。

NCSCC 同时说到:APT28 专门针对乌克兰国防军队的军事人员和单位,使用网络钓鱼电子邮件获取军事电子邮件账户的访问权限。

IT Army Telegram 帖子称:“APT28 以网络钓鱼方式攻击乌克兰军方,通过创建与 ukr[.]net 几乎相同但 URL 略有差异的网站,诱骗用户输入数据。”

乌克兰 IT 军 APT28 间谍活动

IT Army 发布的相关信息截图

政府国防机构称,他们于1月19日首次发现这一活动,主要是发现了几封在“ukr[.]net邮件服务”上的虚假HTML页面电子邮件。

并在X上发布的帖子称:当页面打开时,会显示一个用于输入ukr[.]net凭据的字段,声称是为了“确认访问”,凭据将被发送到该组织控制的服务器上。

1706671024073

 X上发布帖子内容

此外,黑客还尝试通过发送一封声称帐户已被盗用的电子邮件,并提供一个重置账户密码的链接来欺骗用户。

NCSCC 说:“当点击 HTML 页面上的’更改密码’按钮时,将启动浏览器内的攻击,并嵌入一个带有虚假页面用于输入ukr[.]net凭据的特殊iframe。在上述两种情况下,凭据都会被泄露到命令和控制服务器,该组织试图提升特权并在系统中移动。”

在该事件中,攻击者控制的服务器 (hxxp://202.55.80[.]225:35770) 是 Ubiquiti Edge 路由器。”

该机构表示:“APT28 以前在网络钓鱼活动中使用过 compromise 的Ubiquiti Edge路由器来外传数据。”

APT28 的相关信息

APT28(又称Fancy Bear、Sandworm Team)是俄罗斯的一个网络攻击组织,成立于2004年,隶属于俄罗斯总参谋部的主要情报局(GRU)第85主要特种服务中心(GTsSS)的军事单位26165,其与 APT29 存在差异。

根据Mitre Att&ck框架,APT28被认为在2016年针对美国民主党全国委员会和国会竞选委员会进行了攻击,试图干扰美国总统选举。

2018年,GRU 26165的五名成员因渗透到美国和世界反兴奋剂机构以及其他高价值目标而被联邦政府指控。

APT29(又名Cozy Bear、Nobelium),是另一组网络攻击组织,涉及近期对Microsoft、Hewlett Packard Enterprise等公司的攻击,以及2020年SolarWinds事件。


消息来源:cybernews,译者:dengdeng;  

本文由 HackerNews.cc 翻译整理,封面来源于网络;  

转载请注明“转自 HackerNews.cc”并附上原文

© 版权声明
THE END
你的支持是我们在网空安全路上的驱动力!
点赞10 分享
评论 抢沙发
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称表情代码

    暂无评论内容