俄罗斯黑客利用被盗企业邮箱进行网络钓鱼，隐藏攻击企图

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号现在只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【...】,然后点击【设为星标】即可。

近期，知名安全公司Trend Micro发布了一项研究，揭示了Fancy Bear（APT28 或 Pawn Storm）这一俄罗斯黑客组织的最新动向。这支与俄罗斯军事情报局（GRU）有关联的黑客组织，在过去一年内通过简单的方式，即利用已经被盗的企业邮箱账户，发动了一系列网络钓鱼攻击。这些行动显示出该组织在情报收集上的新策略，尽管与他们过去复杂的恶意软件攻击相比，这些手段显得“简单粗暴”。

使用被盗邮箱进行伪装，钓鱼活动更隐蔽

据Trend Micro的Feike Hacquebord称，自2019年5月以来，Fancy Bear通过被盗的中东防务公司高层人员的邮箱账户，发送了大量网络钓鱼邮件。相比于依赖零日漏洞和复杂恶意软件，这种手法显得更直接，黑客通过VPN连接到服务器，利用被盗的电子邮件凭证发送钓鱼邮件。

这些被利用的邮箱账户不仅限于防务公司，还包括来自政府、金融、公共事业、交通部门的邮箱，这些钓鱼活动在阿联酋、印度、巴基斯坦、约旦以及美国等国家广泛展开，表明Fancy Bear在这些国家曾经成功入侵过多个高价值目标。

简单手段背后的复杂意图

虽然Fancy Bear过去以使用恶意软件为主要攻击手段，但这一次选择通过已入侵邮箱账户发送钓鱼邮件，似乎是为了避开某些过滤机制。Hacquebord推测，这种变化可能是为了避免安全公司的检测，但实际效果并不显著。

有趣的是，尽管这种方法暴露了他们部分成功的入侵行动，但这也可能是GRU探索新攻击路径的一种实验性策略。近年来，Fancy Bear的攻击对象不仅局限于防务部门，还涵盖了体育组织、外交机构以及奥运会相关实体等。

黑客入侵邮箱账户的方式

尽管Trend Micro并未完全揭示黑客如何获得这些被盗邮箱账户，但他们指出，暴力破解可能是主要手段之一。例如，Fancy Bear曾试图通过暴力破解微软Exchange Autodiscover服务器来窃取凭证并外流邮件数据。

研究还发现，该组织对中东政府和南美军事机构表现出高度兴趣，并进行了大规模数据外泄行动。与此同时，Fancy Bear也在全球范围内搜索运行Microsoft SQL Server和Directory Services的易受攻击服务器，目标不仅限于政府、军事和政治组织，还扩展到了IT公司、学术机构、律师事务所和机场。

网络钓鱼的威胁与应对

Fancy Bear黑客通过利用企业邮箱进行网络钓鱼，进一步提高了攻击的隐蔽性。这提醒各类组织，无论是政府机构还是私营企业，都需要加强邮箱安全防护，尤其是对已知漏洞的服务器进行及时修补。此外，多因素身份验证（MFA）的使用也是防止邮箱被盗的有效措施。

推荐阅读：知识星球连载创作"全球高级持续威胁：网络世界的隐形战争"，总共26章，相信能够为你带来不一样的世界认知，欢迎感兴趣的朋友加入沟通交流。

欢迎喜欢文章的朋友点赞、转发、赞赏，你的每一次鼓励，都是我继续前进的动力。

原文始发于微信公众号（紫队安全研究）：俄罗斯黑客利用被盗企业邮箱进行网络钓鱼，隐藏攻击企图