SVR 网络间谍利用 iOS 零日漏洞：最新的网络钓鱼攻击

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号现在只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【...】,然后点击【设为星标】即可。

近日，APT29（又名Cozy Bear）再度引发全球网络安全界的高度关注。该俄罗斯黑客组织通过精心策划的网络钓鱼攻击，针对多个国家的政府机构、智库、顾问公司和非政府组织，造成了大规模信息安全威胁。

攻击路径：从SolarWinds到USAID

APT29自去年入侵SolarWinds软件供应链后，再次瞄准了美国国际开发署（USAID）的Constant Contact营销账户。利用该账户，黑客向全球24个国家的150多个目标发送了超过3000封带有恶意链接的电子邮件。这些邮件看似正常，但其背后却隐藏着严重威胁。

黑客通过这些邮件，诱导受害者点击链接，重定向至一个使用JavaScript代码的恶意网站。该网站会将一个ISO映像文件下载到用户设备中，一旦用户打开该文件，后门（Cobalt Strike Beacon）便会悄悄植入，开启了黑客对系统的全面控制。

零日漏洞：iOS用户成目标

此次攻击中，APT29不仅局限于传统的PC用户，甚至开始利用iOS设备的漏洞对受害者下手。在特定情况下，APT29通过专门设计的页面，利用Safari浏览器中的一个零日漏洞（CVE-2021-1879）感染iOS设备。该漏洞早在2021年3月被苹果修复，但APT29借此展开的攻击无疑展现了其高度的技术能力。

大规模行动暴露黑客行踪

尽管APT29长期以来以隐蔽性强著称，但此次他们选择在短时间内大量发送钓鱼邮件，最终导致行动暴露。微软和安全公司Volexity的安全研究人员在5月25日首次发现这一活动时，立即发出了警告，揭示了该黑客组织的最新动向。

未来的网络安全挑战

APT29作为俄罗斯对外情报局（SVR）支持的黑客组织，其频繁的网络攻击行为表明，网络安全领域仍面临巨大的挑战。特别是在全球政府和机构日益依赖数字化平台的背景下，类似的网络钓鱼和漏洞利用攻击将持续威胁各国的安全。

结语

此次APT29的攻击再一次提醒我们，网络安全不仅仅是技术对抗，更是信息战和国家之间的博弈。在防御层面，各机构应加强对邮件安全的防护，同时定期更新和修复系统漏洞，才能有效应对这些持续演变的网络威胁。

推荐阅读：知识星球连载创作"全球高级持续威胁：网络世界的隐形战争"，总共26章，相信能够为你带来不一样的世界认知，欢迎感兴趣的朋友加入沟通交流。

欢迎喜欢文章的朋友点赞、转发、赞赏，你的每一次鼓励，都是我继续前进的动力。

原文始发于微信公众号（紫队安全研究）：SVR 网络间谍利用 iOS 零日漏洞：最新的网络钓鱼攻击