乌克兰外交官成为宝马网络钓鱼活动的目标

      帕洛阿尔托网络42号部门研究人员一项新研究观察到，一个俄罗斯国家级附属网络团伙利用合法出售宝马汽车的借口，将乌克兰基辅的外交官作为目标，发起攻击。 

      这场新颖的网络钓鱼活动是由“隐身熊”组织（又名Cozy Bear，APT29）进行的，美国和英国已公开将其归咎于俄罗斯对外情报局（SVR）。研究人员称，这场运动针对的是基辅80多个外国大使馆中的至少22个，这是一个“令人惊讶”的数字。

      这场运动是通过波兰外交部一名外交官发给各大使馆的合法电子邮件传单开始的。这则邮件介绍了一辆位于基辅的二手宝马5系轿车的销售情况，文件附件标题为“在基辅出售的宝马5-2023.docx”。研究人员指出，鉴于在当前环境下很多货物难以通过运输进入乌克兰，如果一位值得信赖的外交官提供可靠的汽车，就将吸引这一地区人们的兴趣。

      Cloaked Ursa很可能是在破坏了电子邮件收件人的一个电子邮件服务器后，观察到了合法传单，并以传单作为网络钓鱼诱饵，获得机会。2023年5月4日，该团伙使用相同名称的善意微软Microsoft Word文档，通过电子邮件将他们的非法传单发送给基辅各地的多个外交使团。

      如果收件人点击提供“更多高质量照片”的链接，他们将被定向到由Cloaked Ursa选择的合法网站。当受害者尝试查看照片时，恶意负载将在后台静默执行，同时图像会显示在屏幕上。

      该组织使用公开的大使馆电子邮件地址实现了约80%的目标，剩下的20%由在表面网络上未公开的电子邮件地址组成。大多数邮件被发送到大使馆的普通收件箱，但也有少数直接发送到个人的工作邮箱。

      没有信息表明这场运动在感染目标外交官方面取得了多大成功。然而，研究人员表示，目标大使馆的数量“对于范围狭窄的APT秘密行动来说，实在惊人”。

帕洛阿尔托对Cloaked Ursa进行该活动的的评估基于以下因素：

▶与其他已知的隐形大熊座战役和目标的相似之处

▶使用已知的隐形大熊座 TTP

▶代码与其他已知的隐形 Ursa 恶意软件重叠

      此次行动表明，外交使团是俄罗斯政府获取乌克兰及其盟友情报的高价值间谍目标。研究人员在博客写道：“外交官们应该意识到，APT不断修改其方法，包括通过鱼叉式网络钓鱼来提高其有效性，他们将抓住一切机会引诱受害者妥协。乌克兰及其盟友需要对网络间谍的威胁保持格外警惕，以确保其信息的安全和保密。”

      与此同时，本周早些时候（7月10日），黑莓公司的研究发现，就在备受期待的北约峰会前几天，RomCom的黑客也发起了一场针对支持乌克兰的组织和个人的网络活动。