APT28 利用网络钓鱼攻击乌克兰军方窃取登录信息

乌克兰国家网络安全协调中心（NCSCC）警告军方成员，称俄罗斯支持的APT28组织发动了新的网络钓鱼攻击。

NCSCC 发布警告表示：“俄罗斯正在加大网络间谍活动力度，试图通过窃取军事人员的凭证来获取乌克兰的军事情报和指挥控制系统的访问权限。”该警告通过各社交媒体平台发布，并由乌克兰 IT Army 进一步传播。

NCSCC 同时说到：APT28 专门针对乌克兰国防军队的军事人员和单位，使用网络钓鱼电子邮件获取军事电子邮件账户的访问权限。

IT Army Telegram 帖子称：“APT28 以网络钓鱼方式攻击乌克兰军方，通过创建与 ukr[.]net 几乎相同但 URL 略有差异的网站，诱骗用户输入数据。”

IT Army 发布的相关信息截图

政府国防机构称，他们于1月19日首次发现这一活动，主要是发现了几封在“ukr[.]net邮件服务”上的虚假HTML页面电子邮件。

并在X上发布的帖子称：当页面打开时，会显示一个用于输入ukr[.]net凭据的字段，声称是为了“确认访问”，凭据将被发送到该组织控制的服务器上。

X上发布帖子内容

此外，黑客还尝试通过发送一封声称帐户已被盗用的电子邮件，并提供一个重置账户密码的链接来欺骗用户。

NCSCC 说：“当点击 HTML 页面上的'更改密码'按钮时，将启动浏览器内的攻击，并嵌入一个带有虚假页面用于输入ukr[.]net凭据的特殊iframe。在上述两种情况下，凭据都会被泄露到命令和控制服务器，该组织试图提升特权并在系统中移动。”

在该事件中，攻击者控制的服务器 (hxxp://202.55.80[.]225:35770) 是 Ubiquiti Edge 路由器。”

该机构表示：“APT28 以前在网络钓鱼活动中使用过 compromise 的Ubiquiti Edge路由器来外传数据。”

（转载请注明出处，消息来源：https://cybernews.com/cyber-war/russian-apt-28-espionage-phishing-ukraine-military/）

原文始发于微信公众号（安全威胁纵横）：APT28 利用网络钓鱼攻击乌克兰军方窃取登录信息