APT28多阶段攻击欧洲关键网络

inskt集团跟踪GRU的BlueDelta操作基础设施的演变，通过窃取信息的Headlace恶意软件和凭证收集网页瞄准欧洲各地的网络。从2023年4月到12月，BlueDelta分三个不同的阶段部署了Headlace基础设施，使用网络钓鱼、被入侵的互联网服务和依赖陆地二进制文件来提取情报。凭证收集页面的目标是乌克兰国防部、欧洲运输基础设施和阿塞拜疆智囊团，这反映了俄罗斯影响地区和军事动态的更广泛战略。

格鲁乌在欧洲的BlueDelta间谍活动

在地缘政治紧张局势持续之际，俄罗斯战略军事情报机构GRU继续开展复杂的网络间谍活动。inskt Group的最新发现突出了BlueDelta的行动，该组织利用定制恶意软件和凭证收集系统地针对欧洲的关键网络。

从2023年4月到12月，BlueDelta使用地理围栏技术分三个不同阶段部署了Headlace恶意软件，目标是整个欧洲的网络，重点是乌克兰。Headlace恶意软件是通过网络钓鱼邮件部署的，有时会模仿合法通信来提高有效性。BlueDelta利用合法的互联网服务(LIS)和离线二进制文件(lolbin)，进一步将其操作伪装在常规网络流量中。这种复杂性使得检测变得困难，增加了BlueDelta在破坏网络时的成功率。

BlueDelta运营的一个值得注意的方面是它对凭证收集页面的关注。瞄准雅虎和UKR等服务。它采用了先进的功能，能够传递双因素认证和CAPTCHA挑战。最近的行动针对的是乌克兰国防部、乌克兰武器进出口公司、欧洲铁路基础设施和设在阿塞拜疆的一个智库。

成功渗透与乌克兰国防部和欧洲铁路系统有关的网络，可以让BlueDelta收集情报，这些情报可能会影响战场战术和更广泛的军事战略。此外，BlueDelta对阿塞拜疆经济和社会发展中心的兴趣表明了一项了解并可能影响区域政策的议程。

对于政府、军事、国防和相关部门的组织来说，BlueDelta活动的兴起呼吁加强网络安全措施:优先检测复杂的网络钓鱼企图，限制对非必要互联网服务的访问，并加强对关键网络基础设施的监控。持续的网络安全培训以识别和响应高级威胁对于防御此类国家级对手至关重要。

原文始发于微信公众号（HackSee）：APT28多阶段攻击欧洲关键网络