APT28以Headlace恶意软件攻击欧洲重要网络

Insikt Group的研究人员观察到俄罗斯GRU的APT28单位利用信息窃取者Headlace和收集凭证的网络页面，针对欧洲的网络展开攻击。专家们观察到APT在2023年4月至12月期间，分别通过钓鱼、被入侵的互联网服务和利用系统自带的二进制文件这三个不同的阶段部署Headlace。凭证收集页面的设计目标包括乌克兰国防部、欧洲交通基础设施以及阿塞拜疆的一个智库。

该组织创建的凭证收集页面可以通过在合法服务和被入侵的Ubiquiti路由器之间中继请求，绕过双因素认证和CAPTCHA挑战。在某些攻击中，威胁行为者利用Mocky上的特制网页与被入侵的Ubiquiti路由器上运行的Python脚本进行交互，以窃取提供的凭证。与乌克兰国防部和欧洲铁路系统相关的网络的被入侵可能会使攻击者获取情报，影响战场战术和更广泛的军事战略。此外，他们对阿塞拜疆经济和社会发展中心的兴趣表明可能存在了解和可能影响地区政策的潜在议程。Insikt Group推测该操作旨在影响地区和军事动态。

APT28组（又称Fancy Bear、Pawn Storm、Sofacy Group、Sednit、BlueDelta和STRONTIUM）至少自2007年以来一直活跃，并且一直针对全球政府、军事和安全组织进行攻击。该组织还参与了针对2016年总统选举的一系列攻击。该组织的运作基地是俄罗斯总参谋部情报总局（GRU）的第26165军事单位85号主要特种服务中心（GTsSS）。

Insikt Group详细描述的攻击中使用的攻击链具有七个不同的基础设施阶段，用于过滤沙箱、不兼容的操作系统和非目标国家。未通过这些检查的受害者将下载一个良性文件，并被重定向到微软的MSN网站。通过检查的受害者将下载一个恶意的Windows批处理脚本，该脚本连接到一个免费的API服务，以执行连续的Shell命令。

在2023年12月，Proofpoint和IBM的研究人员详细介绍了一波新的APT钓鱼攻击，依赖于多个诱饵内容传递Headlace恶意软件。这些攻击针对至少13个不同的国家。

Insikt Group发布的报告中指出：“通过分析从2022年开始的Headlace地理围栏脚本和凭证收集活动所针对的国家，Insikt Group确定了BlueDelta针对了13个不同的国家。符合预期的是，乌克兰位列榜首，占活动的40%。”

报告称：“土耳其似乎是一个意想不到的目标，占10%，但重要的是要注意，它只是被Headlace地理围栏单独选中，不像乌克兰、波兰和阿塞拜疆那样，它们是通过Headlace地理围栏和凭证收集双重攻击目标。”研究人员呼吁政府、军事、国防及相关行业内的组织加强网络安全措施：

优先检测复杂的钓鱼尝试，限制对非必要互联网服务的访问，并加强对关键网络基础设施的监控。

原文始发于微信公众号（黑猫安全）：APT28以Headlace恶意软件攻击欧洲重要网络