俄黑客组织 APT28 利用 HeadLace 恶意软件攻击欧洲关键网络

与俄罗斯有关的 APT28 使用 HeadLace 恶意软件和凭证收集网页对欧洲各地的网络发动攻击。

Insikt Group 的研究人员观察到，俄罗斯 GRU 的APT28小组利用信息窃取程序 Headlace 和凭证收集网页，针对整个欧洲的网络。

APT28 组织在 2023 年 4 月至 12 月期间分三个不同阶段部署了 Headlace，分别使用网络钓鱼、受感染的互联网服务和二进制文件。凭证收集页面旨在针对乌克兰国防部、欧洲交通基础设施和阿塞拜疆智库。

该组织创建的凭证收集页面可以通过在合法服务和受感染的 Ubiquiti 路由器之间传递请求来通过双因素身份验证和 CAPTCHA 挑战。

在一些攻击者中，攻击者在 Mocky 上创建了特制的网页，这些网页与在受感染的 Ubiquiti 路由器上运行的 Python 脚本进行交互，以窃取提供的凭据。

乌克兰国防部和欧洲铁路系统相关网络遭到入侵，攻击者可借此收集情报，影响战场战术和更广泛的军事战略。此外，他们对阿塞拜疆经济和社会发展中心的兴趣表明，他们可能意图了解并影响地区政策。

Insikt Group 推测此次行动旨在影响地区和军事动态。

APT28组织 （又名 Fancy Bear、 Pawn Storm、 Sofacy Group、 Sednit、BlueDelta 和 STRONTIUM ）自 2007 年以来一直活跃，其目标是世界各地的政府、军队和安全组织。

该组织隶属于俄罗斯总参谋部情报总局（GRU）第 85 主要特别勤务中心（GTsSS）的 26165 军事单位。

Insikt Group 详述的攻击中使用的攻击链有七个不同的基础设施阶段，用于过滤沙盒、不兼容的操作系统和非目标国家。未通过这些检查的受害者会下载一个良性文件，并被重定向到 Microsoft 的 Web 门户 msn.com。通过检查的用户会下载恶意的 Windows BAT 脚本，该脚本连接到免费 API 服务以执行连续的 shell 命令。

攻击链

2023 年 12 月，Proofpoint 和 IBM 的研究人员详细介绍了新一波 APT 鱼叉式网络钓鱼攻击，这些攻击依靠多种诱饵内容来传播 Headlace 恶意软件。这些攻击针对至少 13 个不同的国家。

通过分析 Headlace 地理围栏脚本和自 2022 年以来凭证收集活动所针对的国家，Insikt Group 发现 BlueDelta 针对了 13 个不同的国家。乌克兰位居榜首，占活动的 40%。

土耳其可能看起来像是一个意外的目标，占 10%，但值得注意的是，它只是被 Headlace 地理围栏单独挑出来，不像乌克兰、波兰和阿塞拜疆，它们既被 Headlace 地理围栏瞄准，又被凭证收集。

研究人员呼吁政府、军队、国防和相关部门加强网络安全措施：优先检测复杂的网络钓鱼企图，限制对非必要互联网服务的访问，并加强对关键网络基础设施的监控。

详细报告链接：https://www.recordedfuture.com/grus-bluedelta-targets-key-networks-in-europe-with-multi-phase-espionage-camp

新闻链接：https://securityaffairs.com/164061/apt/apt28-headlace-malware-europe.html