摘要
北约和欧盟正式谴责与俄罗斯有关的APT28针对欧洲国家进行的网络间谍活动。
北约和欧盟谴责与俄罗斯有关的威胁行为者APT28(又名“森林暴雪”、“Fancybear”或“锶”)对欧洲国家进行的网络间谍活动。
本周,联邦政府以最强烈的措辞谴责APT28组织针对德国社会民主党执行委员会进行的长期间谍活动。
德国联邦注册局发布的公告中写道:“联邦政府关于这场运动的国家归因程序得出结论,在相对较长的一段时间内,网络行为者APT28利用微软Outlook中的一个当时尚未确定的关键漏洞,破坏了许多电子邮件帐户。”。
自2022年4月以来,该民族国家行为者在针对欧洲实体的攻击中利用了CVE-2023-23397的零日漏洞。与俄罗斯有关的APT还针对北约实体和乌克兰政府机构。
该漏洞是一个Microsoft Outlook欺骗漏洞,可导致绕过身份验证。
2023年12月,Palo Alto Networks 42部门的研究人员报告称,APT28集团在针对欧洲北约成员国的攻击中利用了CVE-2023-23397漏洞。
专家们强调,在过去的20个月里,APT组织瞄准了14个国家内的至少30个组织,这些组织可能对俄罗斯政府及其军队具有战略情报意义。
2023年3月,微软发布了调查利用修补的Outlook漏洞CVE-2023-23397进行攻击的指南。
在微软威胁情报公司2023年底发现的攻击中,这个民族国家行为者主要针对美国、欧洲和中东的政府、能源、交通和非政府组织。
据第42单元称,APT28于2022年3月开始利用上述漏洞。
该公司发布的报告中写道:“在此期间,Fighting Ursa针对该漏洞至少进行了两次公开活动。第一次发生在2022年3月至12月之间,第二次发生在2023年3月。”。
“第42分队的研究人员发现了最近活跃的第三次战役,在这场战役中,对抗熊也利用了这一漏洞。该小组在2023年9月至10月期间进行了最近一次战役,目标是七个国家的至少九个组织。”
研究人员指出,在第二次和第三次竞选中,民族国家行为者继续利用众所周知的Outlook漏洞。这意味着,这些行动所产生的访问和情报的好处被认为比被发现的潜在后果更重要。
目标清单很长,包括:
除了乌克兰,所有被攻击的欧洲国家都是北大西洋公约组织(NATO)的现任成员,以及至少一个北约快速部署部队
并包括以下部门内的关键基础设施相关组织:
能量、运输、电信、信息技术、军工基地
微软的威胁情报还警告称,与俄罗斯有关的网络间谍组织APT28正在积极利用CVE-2023-23397 Outlook漏洞劫持微软Exchange帐户并窃取敏感信息。
10月,法国国家信息系统安全局ANSSI(国家信息安全局)警告称,与俄罗斯有联系的APT28组织一直针对多个法国组织,包括政府实体、企业、大学、研究机构和智库。
法国机构注意到,威胁行为者使用了不同的技术来避免被发现,包括对目标网络边缘监测和定位的低风险设备的妥协。政府专家指出,在某些情况下,该组织没有在受损系统中部署任何后门。
ANSSI观察到APT28在针对法国组织的攻击中至少使用了三种攻击技术:
➣搜索零日漏洞[T112T1587.004];
➣路由器和个人电子邮件帐户的折衷[T1584.005,T1586.002];
➣使用开源工具和在线服务[T15888.002,T1583.006]。
ANSSI调查证实APT28利用了Outlook 0天漏洞CVE-2023-23397。据其他合作伙伴称,在此期间,MOA还利用了其他漏洞,例如影响Microsoft Windows支持诊断工具(MSDT,CVE-2022-30190,也称为Follina)以及比那些以Roundcube应用为目标的应用(CVE-2020-12641、CVE-2020-35730和CVE-2021-44026)。
根据德国政府最近发布的公告,APT28运动的目标是德国、其他欧洲国家和乌克兰的政府当局、物流公司、军备、航空航天工业、IT服务、基金会和协会。该组织还对2015年德国联邦议院遭到的网络攻击负责。这些行为违反了国际网络规范,需要特别关注,尤其是在许多国家的选举年。
捷克外交部还谴责APT28组织的长期网络间谍活动。外交部的声明还证实,捷克机构已成为与俄罗斯有关的APT28利用微软Outlook从2023年起的零日攻击的目标
“根据情报部门的信息,从2023年起,一些捷克机构也成为利用微软Outlook中一个以前未知的漏洞进行网络攻击的目标。这些攻击的操作模式和重点与演员APT28的简介相匹配。”公告中写道。“为受影响的受试者提供了技术建议和合作,以加强安全措施。作为全球Dying Ember行动的一部分,演员APT28在捷克也受到了积极措施的影响。”
北约、欧洲联盟理事会以及美国和英国政府也发表了类似声明。
欧盟理事会表示:“欧盟及其成员国与国际合作伙伴强烈谴责俄罗斯控制的先进持续威胁行为者28(APT28)对德国和捷克进行的恶意网络活动。”。
美国政府发表的声明中写道:“俄罗斯的行为模式公然无视联合国所有成员国所确认的《网络空间负责任国家行为框架》。美国致力于维护我们盟友和合作伙伴的安全,维护基于规则的国际秩序,包括网络空间秩序。”。“我们呼吁俄罗斯停止这种恶意活动,遵守其国际承诺和义务。我们将与欧盟和北约盟国一道,继续采取行动,破坏俄罗斯的网络活动,保护我们的公民和外国合作伙伴,并追究恶意行为者的责任。”
APT28组织(又名Fancy Bear、Pawn Storm、Sofacy group、Sednit、BlueDelta和STRONTIUM)至少自2007年以来一直活跃,其目标是世界各地的政府、军队和安全组织。该组织还参与了针对2016年总统大选的一系列袭击。
该组织在俄罗斯总参谋部主要情报局(GRU)第85主要特勤中心(GTsSS)的26165军事团结下运作。
APT28的大多数活动都利用了鱼叉式网络钓鱼和基于恶意软件的攻击。
2024.04.30
2024.04.29
2024.04.25
注:本文由E安全编译报道,转载请联系授权并注明来源。
热门跟贴