|
|
51CTO旗下网站
|
|
移动端

黑客组织Fancy Bear:窃取高知名度的网络钓鱼电子邮件帐户

趋势科技的安全研究人员表示,与俄罗斯有关的网络间谍组织Pawn Storm一直在利用窃取的电子邮件帐户向潜在受害者发送钓鱼邮件。

作者:kirazhou来源:FreeBuf|2020-03-25 11:18

趋势科技的安全研究人员表示,与俄罗斯有关的网络间谍组织Pawn Storm一直在利用窃取的电子邮件帐户向潜在受害者发送钓鱼邮件。

Pawn Storm至少从2004年开始活跃,也被称为APT28、Sednit、Fancy Bear和Strontium。据传是由俄罗斯GRU情报机构赞助,曾在在2016年美国大选之前策划了对乌克兰、北约国家和DNC的攻击活动。

多年以来,Pawn Storm一直依靠网络钓鱼来获取感兴趣的系统,但在2019年5月,趋势科技观察到他们的策略、技术和程序(TTP)发生了转变。该组织开始窃取高知名度电子邮件帐户来发送网络钓鱼电子邮件。

该计划在2019年和2020年都付诸实践。其中属于中东国防公司的电子邮件帐户被滥用最多。而在运输、公用事业和政府部门也观察到了其他邮件被窃取的受害者。

“目前还不清楚为什么中东地区的国防公司还会转而使用泄露的电子邮件账户。但Pawn Storm可能试图逃避垃圾邮件过滤,代价则是让一些感染的邮件账户被安全公司知道。但是,我们又没有注意到该组织的垃圾邮件活动的成功收件箱交付有重大变化,因此,还是很难理解。”

去年,该小组还对全球的电子邮件服务器和Microsoft Exchange Autodiscover服务器进行了探测,主要针对TCP端口443,IMAP端口143和993,POP3端口110和995,以及SMTP端口465和587。这一行为的目的可能是寻找容易受攻击的系统,以获取强力凭证、泄露电子邮件并发送垃圾邮件。

  • 2019年8月至11月之间,该小组主要针对武装部队、国防公司、政府、律师事务所、政党和大学,以及法国和英国的私立学校以及德国的幼儿园。
  • 2019年11月至2019年12月之间,攻击者使用相同的IP地址托管网站并扫描具有暴露的445和1433端口的系统,可能是为了寻找运行Microsoft SQL Server和目录服务的易受攻击的服务器。

安全研究人员指出,在2017年至2019年期间,Pawn Storm在其服务器上发起了多个凭据网络钓鱼活动,包括针对美国,俄罗斯和伊朗的Web邮件提供商的垃圾邮件运动。

该组织拥有大量资源,可以让他们进行漫长的战役。他们的攻击范围从复杂的DNS攻击到破坏DNS设置、禁止操作到创建水坑和利用0day漏洞。正如他们最近的活动所证明的那样,我们预计会有更多针对不依赖恶意软件的webmail和云服务的直接攻击。

【编辑推荐】

  1. 东京奥运会,一场国家级黑客比赛?
  2. 黑客新套路:谎称网站安全证书丢失,诱使用户安装恶意软件
  3. 绕过企业安全壁垒 黑客正学会曲线攻击
  4. 网络版“黑吃黑”?神秘黑客组织每天分发受感染的黑客工具
  5. 冠状病毒诈骗:仿冒网站和电子邮件以毫无戒心的用户为目标
【责任编辑:赵宁宁 TEL:(010)68476606】

点赞 0
分享:
大家都在看
猜你喜欢

订阅专栏+更多

 敏捷无敌之 Gitlab CI 持续集成

敏捷无敌之 Gitlab CI 持续集成

打破运维与研发壁垒
共5章 | KaliArch

74人订阅学习

秒杀高并发白话实战

秒杀高并发白话实战

主流高并发架构
共15章 | 51CTO崔皓

59人订阅学习

网络排障一点通

网络排障一点通

网络排障及优化调整案例
共20章 | 捷哥CCIE

465人订阅学习

视频课程+更多

Web安全原理与防御

Web安全原理与防御

讲师:Web安全探究者65401人学习过

Linux恶意程序清除实战

Linux恶意程序清除实战

讲师:曲广平759人学习过

Linux系统安全

Linux系统安全

讲师:Margin2574人学习过

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊

51CTO服务号

51CTO官微