囂張！APT28重用已經暴露的伺服器攻擊羅馬尼亞外交部

科技 05-17

E安全5月15日訊據報道，俄羅斯精英黑客組織偽裝成北約（NATO）代表向歐洲的外交組織發送一系列網路釣魚電子郵件，包括羅馬尼亞外交部。

外媒獲取了一封網路釣魚電子郵件的副本，研究人員認為幕後黑手就是APT28（亦被稱為Fancy
Bear）。這封電子郵件包含陷阱附件，其利用的是最近兩個被披露的Microsoft
Word漏洞。這封電子郵件表明，APT28有效偽裝成北約的電子郵箱地址，可以確定的是北約員工目前正在使用hq.nato.intl域名。目前這份病毒文件已被提交到計算機病毒庫Virus
Total。

本文系E安全官網獨家編譯報道

知名網路安全公司FireEye的一位分析師證實，網路釣魚電子郵件與APT28有關是真實的。最初，部分攻擊目標或發送人的完整地址並未被公開。

北約就這起攻擊不予置評，但表示，黑客經常攻擊北約的系統，一名官員表示，他們認識到此類攻擊包括使用欺騙性的北約電子郵件。當發現欺騙性電子郵件時，北約通常會提醒同盟國的負責當局，以防止攻擊擴散。APT28在網路防禦者中已臭名遠揚，北約表示會密切追蹤該組織的活動。

反病毒產品竟然不起作用

研究人員表示，發送給羅馬尼亞外交部的另一封網路釣魚電子郵件包含一個名為「Trump』s_Attack_on_Syria_English.docx」的附件，該附件是一篇新聞。但羅馬尼亞外交部尚未予以置評。如果目標在易受攻擊的系統上打開該附件，該附件會利用Word中的兩個代碼漏洞下載遠程訪問木馬。目前，研究人員認為這兩個漏洞為0day漏洞，Microsoft已於周二修復了該漏洞。

FireEye將這款惡意軟體稱為「GameFish」會在本地下載，這意味著下載無需聯網。這起案例中使用的GameFish遠程訪問木馬是APT28使用的黑客工具，其為攻擊者提供了大量間諜功能，包括數據滲漏和橫向網路活動。FireEye分析師本·瑞德表示，攻擊者能使用這款工具將其它電腦病毒上傳到已被感染的設備上。

研究人員對羅馬尼亞外交部收到的網路釣魚郵件分析後發現，受害者正使用IronPort和Sophos開發的反病毒產品，但遺憾的是，似乎這兩個產品均未將該附件標記為惡意文件。

目前尚不清楚到底有多少組織機構遭遇攻擊或成功被APT28以特朗普為主題的網路釣魚計劃感染。瑞德認為這起活動的目標範圍「較窄」。

黑客有多囂張？

連接到多個網路釣魚樣本鏈接的IP地址（89.249.67.22）返回到APT28的命令與控制基礎設施。5個多月以前，安全研究人員最初發現了該基礎設施。讓研究人員驚訝的是，攻擊者竟然重用已經被暴露的攻擊伺服器，這說明俄羅斯在進攻方面表現出囂張本性。

Area 1 Security安全研究總監賈維爾·卡斯特羅表示，儘管攻擊中包含了0day漏洞利用，但APT28在重用攻擊基礎設施時未進行適當的安全操作。

FireEye和另一家網路安全公司ESET周二都發布了技術報告。但報告並未披露發送者數據或潛在受害者的相關信息。

雖然FireEye最初在四月份發現證明APT28曾利用兩個Microsoft Word漏洞的證據，但研究人員等到Microsoft周二發布補丁才公開發布分析結果。

據報道，APT28 過去十年一直對歐洲實施政治間諜活動。2016年，該組織攻擊美國民主黨全國委員會和希拉里競選主席約翰·波德斯塔後公開進行主流宣傳。美國情報總監辦公室一月發布報告稱，APT28為俄羅斯情報機構的傑作。

相關閱讀：

俄黑客組織APT28被指入侵法國大選首輪勝出者馬克龍

網路黑客組織APT28攻擊國際田聯

芬蘭情報局報告： APT28明目張胆實施間諜活動