APT28黑客团伙利用我不是机器人伪装 reCAPTCHA 攻击乌克兰政府

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号现在只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【...】,然后点击【设为星标】即可。

在乌克兰面对的最新网络攻击中，俄罗斯军方情报（GRU）关联的APT28黑客团伙（也称Fancy Bear）使用了巧妙的手段，借助伪装的reCAPTCHA系统，引诱用户执行恶意PowerShell命令，专门针对乌克兰地方政府官员，意图窃取敏感信息。

攻击概述：伪装的reCAPTCHA陷阱

近期，乌克兰计算机应急响应小组（CERT-UA）揭露了一场APT28的新型网络钓鱼攻击。黑客通过邮件发送“表格更换”主题的链接，点击后用户会被引导到一个伪装成Google reCAPTCHA的页面，看似是一道“我不是机器人”的验证。然而，在用户点击按钮的瞬间，恶意PowerShell命令便悄然被复制到了剪贴板上。

接着，攻击者会引导用户按下“Win+R”快捷键打开命令窗口，按下“Ctrl+V”并执行命令。一旦执行，恶意程序将运行并感染系统。

APT28的策略与技术

这一攻击手法利用了用户对“验证码”的信任，并利用了Windows系统中常用的操作方式来掩盖攻击意图。CERT-UA分析发现，攻击命令会启动“browser.hta”恶意应用程序，进而执行“Browser.ps1”脚本来窃取用户浏览器（包括Chrome、Edge、Opera、Firefox）中的敏感信息。更令人担忧的是，APT28还利用SSH隧道将敏感数据直接传输到其控制的服务器，甚至下载并运行了Metasploit工具，这是渗透测试中常用的工具，但在黑客群体中越来越流行。

APT28持续攻击乌克兰的方式

这并非APT28第一次对乌克兰目标发动攻击。此前，CERT-UA在9月报告称，APT28曾利用Roundcube邮件系统漏洞（CVE-2023-43770）来拦截并转发敏感邮件。通过此漏洞，APT28得以向乌克兰国防联系人进一步扩散其攻击。多个乌克兰政府邮箱账户被用于转发恶意邮件，进一步增加了数据泄露的风险。

APT28还频繁使用相同的服务器（mail.zhblz[.]com）和IP地址（203.161.50[.]145）来控制攻击，显示出他们在基础设施管理上的一致性和隐蔽性。CERT-UA敦促政府机构保持警惕，防范针对日常操作的攻击。

专家建议：加强安全防护与监控

CERT-UA建议政府机关和相关部门时刻关注此类定向钓鱼攻击，通过加强内部安全防护和开展定期安全培训，提升应对能力。同时，保持系统的安全更新，以应对APT28等高级持续性威胁组织的不断升级的攻击手段。

推荐阅读：知识星球连载创作"全球高级持续威胁：网络世界的隐形战争"，总共26章，相信能够为你带来不一样的世界认知，欢迎感兴趣的朋友加入沟通交流。

欢迎喜欢文章的朋友点赞、转发、赞赏，你的每一次鼓励，都是我继续前进的动力。

原文始发于微信公众号（紫队安全研究）：APT28黑客团伙利用“我不是机器人”伪装 reCAPTCHA 攻击乌克兰政府