北约和欧盟谴责与俄罗斯有关的威胁组织APT28(又名“森林暴雪”、“ Fancybear ”或“ Strontium ”)针对欧洲国家开展的网络间谍活动。
本周,德国联邦政府以最强烈的措辞谴责 APT28 组织针对德国社会民主党执行委员会开展的长期间谍活动。
“联邦政府针对此次活动的国家归因程序得出的结论是,在相对较长的一段时间内,网络攻击者 APT28 利用了 Microsoft Outlook 中当时尚未识别的关键漏洞来危害众多电子邮件帐户。”德国联邦监管局发布的公告中说。
自 2022 年 4 月以来,APT28 利用 0day 漏洞 CVE-2023-23397 对欧洲实体进行攻击。这个与俄罗斯相关的 APT 组织还针对北约实体和乌克兰政府机构。
CVE-2023-23397漏洞是一个 Microsoft Outlook 欺骗漏洞,可导致身份验证绕过。
2023 年 12 月,Palo Alto Networks 的 Unit 42 研究人员报告称,APT28组织 在针对欧洲北约成员国的攻击中利用了 CVE-2023-23397 漏洞。
专家们强调,在过去 20 个月中,APT黑客针对了 14 个国家的至少 30 个机构,这些机构可能对俄罗斯政府及其军队具有战略情报意义。
2023 年 3 月,Microsoft 发布了调查利用已修补的 Outlook 漏洞(跟踪为CVE-2023-23397 )的攻击指南 。
在微软威胁情报于 2023 年底发现的攻击中,攻击者主要针对美国、欧洲和中东的政府、能源、交通和非政府组织。
据Unit 42称,APT28于2022年3月开始利用上述漏洞。
“在此期间,Fighting Ursa 至少进行了两次利用此漏洞进行的活动,并且这些活动已被公开。第一次发生在 2022 年 3 月至 12 月期间,第二次发生在 2023 年 3 月。”Unit 42发布的分析报告这样描述。
“Unit 42 研究人员发现了第三个最近活跃的活动,其中 Fighting Ursa 也利用了此漏洞。该组织在 2023 年 9 月至 10 月期间开展了最近一次活动,目标是七个国家的至少 9 个组织。”
研究人员指出,在第二次和第三次活动中,攻击者继续使用众所周知的 Outlook 漏洞。这意味着这些行动所产生的访问和情报的好处被认为比被发现的潜在后果更重要。
目标清单很长,包括:
- 除乌克兰外,所有目标欧洲国家均为北约组织 (NATO) 成员
- 至少一支北约快速反应部队
- 以下部门内与关键基础设施相关的组织:能源、运输、电信、信息技术、军工基地
微软威胁情报还警告称,与俄罗斯有关的网络间谍组织 APT28 正在积极利用 CVE-2023-23397 Outlook 漏洞劫持 Microsoft Exchange 帐户并窃取敏感信息。
10 月,法国国家信息系统安全局 ANSSI (国家信息系统安全局) 警告称 ,与俄罗斯有关的 APT28 组织一直针对多个法国机构,包括政府实体、企业、大学、研究机构和智库。
该法国机构注意到,攻击者使用不同的技术来逃避检测,包括破坏位于目标网络边缘的受监控和低风险设备。政府专家指出,在某些情况下,该组织并没有在受感染的系统中部署任何后门。
ANSSI 观察到 APT28 在针对法国组织的攻击中至少使用了三种攻击技术:
- 零日漏洞;
- 攻击路由器和个人电子邮件帐户;
- 使用开源工具和在线服务。
ANSSI 调查确认 APT28 利用了 Outlook 0day 漏洞 CVE-2023-23397。
据其他合作伙伴称,在此期间,还利用了其他漏洞,例如影响 Microsoft Windows 支持诊断工具的漏洞(MSDT、 CVE-2022-30190,也称为 Follina)以及针对 Roundcube 应用程序的漏洞(CVE- 2020-12641、CVE-2020-35730、CVE-2021-44026)。
根据德国政府最近发布的公告,APT28活动针对的是德国、其他欧洲国家和乌克兰的政府当局、物流公司、军火、航空航天工业、IT服务、基金会和协会。该组织还对 2015 年德国联邦议院的网络攻击负责。这些行为违反了国际网络规范,需要特别关注,特别是在许多国家的选举年期间。
捷克外交部也谴责APT28组织的长期网络间谍活动。该部的声明还证实,从 2023 年起,捷克机构已成为与俄罗斯相关的 APT28 的目标,该组织利用 Microsoft Outlook 0day漏洞。
“根据情报部门的信息,自 2023 年起,一些捷克机构成为利用 Microsoft Outlook 中先前未知漏洞进行网络攻击的目标。这些攻击的操作模式和重点与攻击者 APT28 的个人资料相符。”
北约、 欧盟理事会以及美国和英国政府也发表了类似声明。
APT28组织 (又名 Fancy Bear、 Pawn Storm、 Sofacy Group、 Sednit、BlueDelta 和 STRONTIUM)至少自 2007 年以来一直活跃,其目标是世界各地的政府、军队和安全组织。该组织还参与了针对2016 年总统选举的一系列攻击 。该组织隶属于俄罗斯总参谋部主要情报局 (GRU) 。
大多数 APT28 的活动都利用了鱼叉式网络钓鱼和基于恶意软件的攻击。
转自会杀毒的单反狗,原文链接:https://mp.weixin.qq.com/s/BQuLzaxvmlzuPUUsa6xe8Q
暂无评论内容