受到俄羅斯軍情單位GRU指使、被稱做APT28、Forest Blizzard、Strontium的駭客組織,去年德國聯邦政府(Bundesregierung)、捷克外交部(MFA)、波蘭國家研究院(National Research Institute,NASK)出面指控,當地政府機關及企業組織遭受攻擊,如今又有歐洲國家表示,這些駭客長時間對他們的企業組織從事攻擊行動。
4月29日法國外交部發布新聞稿,指控APT28在過去4年,鎖定當地超過10個政府機關及企業組織從事網路攻擊,這些組織包含法國的公共服務、私人企業,以及2024奧運及帕拉林匹克運動會(Paralympic Games,簡稱帕運)相關的體育機構。針對APT28的攻擊手法,他們提及GRU也曾經使用,於2015年破壞電視臺TV5Monde,以及在2017年試圖干預法國選舉。
對此,法國網路安全局(ANSSI)同日發布調查報告說明相關細節,他們指出這段期間APT28攻擊的目標,包含政府機關、地方政府、行政單位、國防科技與工業基礎(Defence Technological and Industrial Base,DTIB)、航太領域、研究機構、智庫、金融機構。其中,在2024年,這些駭客主要針對當地政府、外交、研究機構、智庫而來。
這些駭客通常利用網路釣魚、漏洞利用(其中1個是Outlook漏洞CVE-2023-23397)、對網頁郵件系統暴力破解的方式來觸發感染鏈。其中,APT28也對受害組織的邊緣設備下手,從而降低遭到偵測的風險。
在部分攻擊行動裡,APT28會試圖收集對話內容、通訊錄、帳密資料,來取得能持續存取特定資訊系統的管道。
ANSSI特別提到APT28從偵察到洩露竊得資料的過程裡,極度依賴低成本和能立即使用的外部基礎設施,這些包含租用的伺服器、免費代管服務、VPN服務、臨時電子郵件服務,這麼做使得他們能夠隱匿攻擊來源。
其中一些攻擊行動裡,APT28寄送釣魚郵件發動攻擊,主要的目標就是Roundcube郵件伺服器,企圖藉此洩露電子郵件帳號的內容。
在2023年,這些駭客發展出濫用免費網頁服務的攻擊鏈,他們先是寄送帶有惡意連結的釣魚信,一旦收信人就會被重新導向到InfinityFree服務提供的網域,最終導致電腦被植入後門程式HeadLace。此後門程式接收來自Mocky.IO端點下達的命令,收集受害組織資訊系統的帳密資料及其他資訊。
這些駭客也針對Ukr.net、Yahoo電子郵件服務的用戶下手,意圖將他們重新導向冒牌登入網頁,竊取帳密資料,過程裡駭客不只使用Mocky.IO等免費網頁服務,也入侵路由器來達到目的。為了擴大攻擊範圍,後續駭客也製作ZimbraMail與Outlook Web Access的冒牌登入網頁。
值得留意的是,法國指控APT28的攻擊當地企業組織已有前例,2023年10月,ANSSI指出這些駭客入侵邊緣網路裝置來迴避偵測,並利用多項漏洞來犯案。
熱門新聞
2025-05-12
2025-05-12
2025-05-12
2025-05-12
2025-05-13
2025-05-12
