乌克兰称：俄黑客在最近的网络间谍活动中以大使馆和国际组织为目标

乌克兰政府网络安全研究人员发现，俄罗斯国家支持的黑客在最近的一次网络间谍活动中以大使馆和国际组织为目标。

这些攻击归因于臭名昭著的黑客组织 APT29，也称为 Cozy Bear 或 Blue Bravo。分析人士此前将其与俄罗斯对外情报局（SVR）联系起来，该机构负责收集其他国家的政治和经济情报。

乌克兰国家网络安全协调中心 (NCSCC)分析了今年 9 月发生的这次活动。该组织在之前的活动中使用了类似的工具和策略，特别是在四月份针对基辅大使馆的行动中。

NCSCC 表示，最近的行动“主要目标是渗透使馆实体”，其中包括阿塞拜疆、希腊、罗马尼亚和意大利的目标。NCSCC 表示，另一个受害者是希腊主要互联网提供商 Otenet。

研究人员表示，外交账户，尤其是与阿塞拜疆和意大利外交部相关的账户，受到的影响最大。一个可能的原因是俄罗斯情报部门试图收集有关阿塞拜疆战略活动的信息，特别是导致阿塞拜疆入侵纳戈尔诺-卡拉巴赫地区的信息。

APT29 的攻击活动总共针对 200 多个电子邮件地址，但尚不清楚有多少次攻击成功。

APT29 利用了Windows 文件归档工具 WinRAR 中最近发现的漏洞。该漏洞被识别为 CVE-2023-3883，在 2023 年初被国家背景的黑客组织利用，然后才得到修补。该工具的未修补版本仍然容易受到攻击。

NCSCC 表示，该漏洞仍然“构成重大威胁”，因为它允许攻击者通过利用特制的 ZIP 存档来执行任意代码。

在最近的活动中，Cozy Bear 向受害者发送了包含 PDF 文档链接和利用该漏洞的恶意 ZIP 文件的网络钓鱼电子邮件，可能会授予攻击者访问受感染系统的权限。

为了说服目标打开恶意文件，黑客创建了电子邮件，声称拥有有关外交宝马汽车销售的信息。今年春天，该组织在袭击基辅大使馆时也使用了同样的诱饵。

研究人员表示，在这次活动中，攻击者引入了一种与恶意服务器通信的新技术。特别是，他们使用了一种名为 Ngrok 的合法工具，该工具允许用户将其本地服务器公开到互联网。

Ngrok 通常在 Web 开发和测试过程中用于为本地 Web 服务器提供临时公共 URL，但网络犯罪分子部署它是为了混淆他们的活动并与受感染的系统进行通信，同时逃避检测。

NCSCC 表示，通过以这种方式利用 Ngrok 的功能，攻击者可以使网络安全分析进一步复杂化，并保持在雷达之下，从而使防御和归因更具挑战性。

乌克兰战争期间，APT29对乌克兰军队及其政党、外交机构、智库和非营利组织进行了网络攻击。

例如，四月份，该组织针对北约国家、欧盟以及“在较小程度上”非洲的外交部和外交实体发起了一场间谍活动。

黑客的策略与 9 月份的攻击活动中使用的策略类似。特别是，他们向特定人员发送冒充欧洲国家大使馆的网络钓鱼电子邮件，通常在邮件正文或附件 PDF 中包含恶意链接，邀请目标外交官访问大使的日历。

APT29 因战前几起备受瞩目的事件而受到指责，其中包括2020 年SolarWinds供应链攻击，该攻击影响了全球数千个组织，并导致了一系列数据泄露。

转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/XHHuyhAtNyoJWFQQHHKFTA

封面来源于网络，如有侵权请联系删除